Ple*_*mor 3 security xss owasp
预防存储型 XSS的最佳方法是什么?
第一个解决方案的问题是数据可能被修改(字符编码、部分或全部删除......)。这可能会改变应用程序的行为,尤其是对于显示问题。
当且仅当您的数据需要符合特定格式/标准并且您确定可以安全地丢弃数据时,您才可以应用清理;例如,您从电话或信用卡号码中删除所有非数字字符。您始终对适当的上下文应用转义,例如,在将用户提供的数据放入 HTML 中时对其进行 HTML 编码。
大多数时候,您不想进行清理,因为您想明确允许自由格式的数据输入,而禁止某些字符根本没有任何意义。我在这里看到的少数例外之一是,如果您接受用户的 HTML 输入,您将需要清理该 HTML 以过滤掉不需要的标签和属性并确保语法有效;但是,您可能希望将原始的、未经清理的版本存储在数据库中,并仅在输出上应用此清理。
| 归档时间: |
|
| 查看次数: |
2773 次 |
| 最近记录: |