0

我正在尝试制作一个防黑客网站并学习 XSS。所以过程是

A: 获取用户输入 -> B: 存储 -> C: 再次显示给客户端

我正在使用 Microsoft AntiXSS 库来避免 XSS 攻击,但是令人困惑的是,我应该在步骤“B”还是在步骤“C”执行必要的步骤来避免 XSS 攻击。

4

1 回答 1

2

您应该在呈现内容的地方进行消毒,因为这是唯一重要的地方。

在更复杂的场景中,您的数据流可能如下所示:

                          /---> C (presentation)
A (get input) -> B (store) 
                          \---> D (process)

如果您已经对 B 点的数据进行了清理,那么 D 点的处理将无法对原始数据进行操作。

于 2012-01-07T02:25:36.950 回答