Moh*_*mad 9 email xss validation url coldfusion
使用IsValid()验证电子邮件地址或URL格式是否可以保护XSS?当指定其他格式时,它是否否定XSS?
ora*_*ips 10
有效的URL仍然可以包含攻击媒介:
<!--- No on CF9 --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123; DROP TABLE Products")#</cfoutput>
<!--- Yes on CF9: hex encoded ';DROP TABLE Products' --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123%3B%20%44%52%4F%50%20%54%41%42%4C%45%20%50%72%6F%64%75%63%74%73")#</cfoutput>
当然,上述不是XSS攻击,但可以更改为使用攻击更新列.
电子邮件验证似乎可以防止我能找到的攻击.
作为概括,isValid()当数据类型是有限时,有助于防止XSS攻击 - 整数,SSN,UUID等.但是,有一个记录的潜在攻击的清单,其中唯一的数据类型本身就是"字符串".在这种情况下,isValid()没有任何帮助,而是OWASP的AntiSamy是一个有用的工具,用于遍历DOM并删除任何未列入白名单的内容.
捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?提供了许多关于XSS预防的一般主题的有用信息.
最后要说明一点,使用:
<cfqueryparam cfsqltype="..." value="...">
保护查询.
更新
最后,但并非最不重要的是,OWASP XSS备忘单:最好的启发式设置,用于处理输入以防止XSS.
| 归档时间: |
|
| 查看次数: |
852 次 |
| 最近记录: |