是否有理由担心对 ASP Classic 站点的 XSS 攻击,它允许密码字段中的所有字符?如果是,如何在不限制字符的情况下防止它?
如果密码从未在任何地方显示,我认为这不是问题。
(是的,不应该显示密码,但假设是这种情况。)
谢谢你。
问问题
188 次
2 回答
1
如果在输出时正确编码,则不是,但是您可能应该再次实施仅输入密码,从不输出密码的策略。这也将解决您的 XSS 问题。
阅读本文以获取有关 XSS 的更多信息:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
于 2013-10-31T11:25:37.577 回答
0
问题(这是在任何语言/框架中,而不仅仅是 ASP/VBScript)几乎总是与您如何处理密码有关,而不是您允许的问题(讨论正确的密码要求除外)。
关于 XSS 有很多问题(您应该阅读)并处理数据处理的细节以及以这种方式可以/不能利用的内容。
有很多关于密码安全的问题(你应该阅读)并处理密码要求、加密等细节。
于 2013-10-30T18:56:55.570 回答