我正在阅读有关XPCOM组件的开发.我遇到了这些称为白名单数据和黑名单数据的术语,我试图在谷歌上找到但不能......我不知道它与编程有什么关系,所以请原谅我,如果我把问题放在错误的地方..
当您可以简单地使用数据编码时HttpUtility.HtmlEncode,我们为什么要使用AntiXss.HtmlEncode?
为什么白名单比黑名单更好?
此外,在Anti XSS库中,我在哪里指定白名单?
我经常想知道 - 为什么在清理HTML输入时使用白名单而不是黑名单?
有多少偷偷摸摸的HTML技巧可以打开XSS漏洞?显然不允许脚本标签和框架,并且HTML元素中的字段将使用白名单,但为什么不允许大部分内容?