那些遇到过的问题

如果我用'&lt;'替换所有'<',我的网站是否可以安全使用XSS?

Kyl*_*yle 5 security xss

我想知道从XSS到网站安全的最低要求是什么.

如果我只需更换<&lt;所有用户提交的内容,将我的网站从安全XSS

ale*_*lex 5

在很大程度上取决于背景.

此外,编码不仅仅是一个想法的闪光.您应该只编码具有特殊含义的所有字符,并且可以用于XSS ...

  • <
  • >
  • "
  • '
  • &

对于一个简单的例子,其中编码小于无关紧要的是这样的......

欢迎来到Dodgy Site.请链接到您的主页.

恶意用户进入...

http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;
Run Code Online (Sandbox Code Playgroud)

这明显变成......

<a href="http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;">View user's website</a>
Run Code Online (Sandbox Code Playgroud)

如果您编写双引号,则该攻击无效.

归档时间:

查看次数:

853 次

最近记录:

15 年,1 月 前
相关归档
确保每个控制器方法都有一个ValidateAntiForgeryToken属性? 16
我可以避免将我的Twitter API消费者秘密放入我的iPhone应用程序二进制文件中 8
SecurityException:未安装BC提供程序 6
每次登录都更新哈希盐是个好主意吗? 5
使用 iframe 呈现用户提供的 html 代码 5
利用jquery html编码XSS 4
存在“strict-dynamic”,因此禁用基于主机的白名单 4
Spring MVC和JSON中的安全性 3
HDFS 数据节点不以 kerberos 开头 3
在用户提交的html中禁用Javascript 1
难疑归档
如何更改远程Git存储库的URI(URL)? 3529
如何在PHP中阻止SQL注入? 2776
如何在Git中获取当前分支名称? 2321
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
如何在Windows上找出正在侦听端口的进程? 2040
如何在Bash中的分隔符上拆分字符串? 1885
删除包含特定字符串的文本文件中的行 1670
lodash和下划线之间的差异 1566
如何在Python中通过索引从列表中删除元素? 1381
如何将div中的绝对定位元素居中? 1034