我以前从未处理过 XSS,但我刚刚收到一位访问者的评论,说我的网站存在 XSS 漏洞。
他很乐意为我提供激活显示用户 cookie 的提示框的字符串。我在这个网站和 webapp 中有很多代码,我该如何找到并修复它?我从哪说起呢?
问问题
500 次
2 回答
0
减少(而不是停止)XSS 漏洞的一种简单方法是对所有输出进行 HTML 编码。您还应该清理某人为 XSS 漏洞提交的数据。在 .NET 平台上你可以使用 antixss 库,在 PHP 上你可以使用 strip_tags(),无论你使用什么平台,都应该有一些东西,但它们不会是 100%。并在https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet查看OWASP XSS 备忘单
XSS 可能很棘手,Stack Overflow、Gmail、Outlook Web Access 过去都存在 XSS 漏洞。但是,如果您按照备忘单进行所有输入和输出,您应该能够大大减少问题。在您的代码中搜索任何 echo 或 response.write 或
<?= ?>, <%= %>
之后转到输入点,查找任何 Request.Form 或 $_GET 或 $_POST 或者您正在获取数据输入。
于 2013-06-18T09:40:45.450 回答
0
OWASP 还提供了 API 来防止这种攻击。这些 API 是用几种编程语言编写的。
您可以从这里下载这些 API 。
你为什么不去下载那个 API(用你喜欢的编程语言)并使用 if 来清理用户输入。
于 2013-06-18T09:35:36.953 回答