0

我将允许用户在我的网站上设置带有链接的图像。例如个人资料图片和个人资料链接。

我不会让他们上传所述图片,但让他们提供一个我将插入到 img src 中的 url。

我想对有人可能会使用我的网站的最了解的 xss 模式进行基本检查,但事实是,我没有样本列表来检查我的函数是否有效。事实上,即使我编写了一个完全符合 RFC 的解析器来检查 URL 的各个方面,我仍然不知道我应该防范什么。

4

2 回答 2

1

使用OWASP Zed 攻击代理(ZAP)对其进行扫描。

ZAP 是一个免费的开源安全工具,它非常擅长发现 XSS 漏洞。

西蒙(ZAP 项目负责人)

于 2012-09-02T07:55:29.800 回答
1

我会做以下事情

  • 检查 URI 是否以 http:// 或 https:// 开头
  • URI 在将 URI 打印到 img src 之前对其进行编码。

第一个是确保不允许使用 javascript:、vbscript: 等 URL。第二种是转义任何可能造成损坏的字符(如“、'、<、>等)。

仍然是一个很好的模式资源,虽然有点过时:http ://ha.ckers.org/xss.html 另一个很好的资源:http ://html5sec.org

于 2012-09-01T06:41:34.217 回答