那些遇到过的问题

防止XSS攻击

5 xss

我正在创建一个网页,用户可以在远程计算机上进行交互并执行基本文件系统操作(创建文件/目录,删除文件/目录,导航文件系统).该网页是基本的HTML(UTF-8编码)和Javascript.我需要让这个网页XSS证明.

是否可以使用Javascript(这输出百分比编码的十六进制值)来逃避用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)?

我基本上只将字母数字输入列入白名单.此外,由于我使用百分比编码的十六进制值,我假设不应该存在UTF编码漏洞.

任何人都可以想到这个机制中的任何安全漏洞吗?

小智 8

使用javascript(我认为这就是你所说的)进行转义似乎并不太安全.它在用户计算机上运行,​​他们可以通过一些努力绕过转义机制.

你想要做的事情听起来是正确的,但你需要在服务器端进行.

Zif*_*fre 0

听起来很安全,而且可能确实如此,但有一个问题。只有正确实施它才有效。这太容易出错了。如果你想这样做,那没关系,但我建议使用一些已经测试过的库来做到这一点,而不是滚动你自己的库。

归档时间:

查看次数:

2850 次

最近记录:

13 年,9 月 前
HTML编码会阻止各种XSS攻击吗? 62
更多相关链接
相关归档
用PHP清理用户输入的最佳方法是什么? 1069
在Rails中转义HTML 25
是什么让JSFiddle免受基于XSS的攻击? 23
创建全屏iframe 13
Markdown(带有strip_tags)是否足以阻止XSS攻击? 10
在没有脚本标签的情况下为 XSS 执行 JavaScript 10
htmlentities()子弹证明? 6
这个功能是否足以进行xss检测? 6
PHP htmlentities() 输入与输出 5
如何使用SpringMVC + Jackson应用程序防止XSS攻击? 4
难疑归档
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
在'for'循环中访问索引? 3312
我遇到了合并冲突.我怎样才能中止合并? 2391
外部"C"在C++中有什么影响? 1511
没有指定分支的"git push"的默认行为 1339
用于更新和删除的HTTP状态代码? 1264
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
检查jQuery中是否存在元素 1209
PHP和枚举 1114
我必须在何处以及为何要使用"模板"和"typename"关键字? 1061