web 安全

  1. 用户输入的数据,不要不经过转义直接展示到页面上,防止其中有些js被执行,一般的用户输入的数据,页面渲染的时候都是被转义过得,即,用户输入什么就展示什么,不会被执行,但是特殊情况除外,比如富文本编辑器,对于富文本的内容一定要做好过滤。
  2. 防止记录用户登录的cookie被劫持,这个cookie要设置HttpOnly