我已经查看了问题,但我还没有看到有人问这个问题.
在某些用户提交的内容中删除任何类型的XSS尝试的确定方法是什么?我知道<并且>应该分别转换为<和>但是我听说过编码差异也可以解决这个问题.
由于人们每天都会发现新的攻击媒介,因此没有绝对安全的XSS.有时XSS甚至是一个浏览器错误,你无法做任何事情(除了一些解决方法).
要了解复杂性,请查看此(不完整)xss攻击备忘单.
猜猜你应该让自己成为XSS专家或雇用一个人来实现你的目标.
您可以从检查上面给定链接的攻击向量开始,尝试理解它为什么可以工作并确保您阻止它.
防止XSS的另一个好方法是确保你只接受你期望的东西,而不是阻止你知道不好的东西.(即白名单而不是黑名单)
| 归档时间: |
|
| 查看次数: |
5552 次 |
| 最近记录: |