5 xss
我正在创建一个网页,用户可以在远程计算机上进行交互并执行基本文件系统操作(创建文件/目录,删除文件/目录,导航文件系统).该网页是基本的HTML(UTF-8编码)和Javascript.我需要让这个网页XSS证明.
是否可以使用Javascript(这输出百分比编码的十六进制值)来逃避用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)?
我基本上只将字母数字输入列入白名单.此外,由于我使用百分比编码的十六进制值,我假设不应该存在UTF编码漏洞.
任何人都可以想到这个机制中的任何安全漏洞吗?
小智 8
使用javascript(我认为这就是你所说的)进行转义似乎并不太安全.它在用户计算机上运行,他们可以通过一些努力绕过转义机制.
你想要做的事情听起来是正确的,但你需要在服务器端进行.
Zif*_*fre 0
这听起来很安全,而且可能确实如此,但有一个问题。只有正确实施它才有效。这太容易出错了。如果你想这样做,那没关系,但我建议使用一些已经测试过的库来做到这一点,而不是滚动你自己的库。
归档时间:
16 年,8 月 前
查看次数:
2850 次
最近记录:
13 年,5 月 前