1

当然,我知道脚本代码是在客户端执行的。但是在服务端应该引入什么样的对策才能提供最大的 XSS 安全性。输出编码是否合理,或者是否有其他应对措施?

[编辑]

如果我将内容作为 HTML 编码发回,所有现有的 XML 模式文件和 bean 验证都将不起作用,因为 XSD 模式和 bean 验证都使用相同的正则表达式。

<xs:simpleType name="addressNumber">
    <xs:restriction base="xs:string">
        <xs:pattern value="[0-9]{1}[0-9a-z/\\ -]{0,7}" />
    </xs:restriction>
</xs:simpleType>
4

1 回答 1

1

最后,我在 IT 上得到了答案——安全!最重要的是:

  • 使用标准的 XML 解析器库来编码像 < 和 > 这样的字符
  • 检查content-type标题是否设置为application/xml
  • 添加附加X-Content-Type-Options标题并将值设置为nosniff
  • 执行服务端输入验证(白名单是最可靠的方法)
于 2013-09-10T15:00:44.860 回答