1

与依赖动态网页的标准 XSS 攻击不同,基于 DOM 的 XSS 攻击不需要向服务器发送任何恶意代码,因此也可以使用静态 HTML 页面。我的谦虚问题是,开发人员是否可以以可以防止此类攻击的方式安全地对页面进行编码。使用什么/是什么技术?我的信念是无论页面是静态的还是动态的,请求仍然必须从客户端传递到服务器,因此这让我思考并想知道服务器端检查是否仍然可以检测到这种攻击?

4

1 回答 1

0

为了让恶意代码进入您的页面,您必须将未经转义的攻击者提供的文本放到页面上。无论您是在服务器端使用 PHP 还是在客户端使用 Javascript 都没有关系——您必须先转义您收到的任何输入,然后再将其转换为输出。

对 javascript 使用与服务器端代码相同的规则。

于 2011-07-06T13:51:20.663 回答