Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
如果网页包含用于用户输入的下拉菜单、单选按钮、复选框等,并避免使用文本字段和文本区域来规避不受信任的数据(用户输入的恶意 javascript)。这样的网页对 XSS 免疫吗?如果不是如何使用 ESAPI 保护这样的应用程序。
您可以使用例如 Firebug 在浏览器中编辑表单,然后添加具有任何名称的任何字段。
更重要的是,您可以使用您喜欢的任何数据(使用 curl 或许多其他工具)伪造整个 post/get 请求。
所以:不,不是。
不必要。输入类型无关紧要,因为请求可以被欺骗(使用 GET 很容易,但使用 POST 请求不太难)。重要的是表单的结果在将其插入页面之前进行了清理。