0

我是处理跨站点脚本问题的新手。我们有一些 404 页面输出未找到的 URL,据我所知,javascript 可以被恶意替换。为了防止 XSS 攻击,简单地删除错误 URL 的输出就足够了吗?还是我仍然需要以某种方式根据白名单过滤输入,为此我正在查看 OWASP 库:https ://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

4

1 回答 1

1

用户的任何输入都有潜在的危险。您收到它 - 它可能会占用您的全部记忆 :) 您显示它 - 您可能会受到跨站点脚本的伤害。你无论如何都试图解释它 - 你有 sql/ldap/js/xxx 注入。并且可能还有一些我什至不知道的攻击。因此,如果您不显示它,那么是的,您可以安全地抵御 xss。但是,您仍然应该小心用户的数据。OWASP 建议很好 - 白名单过滤是获得更高级别安全性的最简单方法

于 2012-07-27T19:49:14.897 回答