问题标签 [xss]

我们与潜在客户进行了很多公开讨论，他们经常询问我们的技术专长水平，包括我们当前项目的工作范围。为了衡量他们现在或以前使用过的员工的专业水平，我做的第一件事是检查 XSS 和 SQL 注入等安全漏洞。我还没有找到易受攻击的潜在客户，但我开始怀疑，他们是否真的认为这项调查有帮助，或者他们是否会认为，“嗯，如果我们不与他们做生意，这些人会破坏我们的网站。” 非技术人员很容易被这些东西吓到，所以我想知道这是一种善意的表现，还是一种糟糕的商业行为？

我不关心其他类型的攻击。只想知道 HTML Encode 是否可以防止各种 XSS 攻击。

即使使用 HTML 编码，是否有某种方法可以进行 XSS 攻击？

此链接描述了使用 fckEditor 对我的应用程序的利用：http: //knitinr.blogspot.com/2008/07/script-exploit-via-fckeditor.html

如何在仍然使用 fckEditor 的同时确保我的应用程序安全？它是 fckEditor 配置吗？从 fckEditor 获取文本后，我应该在服务器端进行一些处理吗？

这是一个难题，因为 fckEditor使用html 标签进行格式化，所以当我显示文本时不能只进行 HTML 编码。

我配置了 PHP，以便打开魔术引号并关闭全局寄存器。

对于我输出的任何源自用户输入的内容，我都会尽我所能调用 htmlentities()。

我也偶尔会在我的数据库中搜索附加的 xss 中使用的常见内容，例如...

我还应该做什么以及如何确保我想做的事情总是完成。

我正在使用 ASP.NET Web 窗体进行博客风格的评论。

编辑1：这看起来比我最初想的要复杂得多。你如何过滤src？
我宁愿仍然使用真正的 html 标签，但如果事情变得太复杂，我可能会采用自定义路线。我还没有做过任何 XML，所以我需要了解更多吗？

我是在网络上开发东西的新手。到目前为止，我花了很多时间（50% 左右）来尝试防止坏人将诸如 sql 注入之类的东西放入我的输入表单并在服务器端验证它。这是正常的吗？

今天早些时候，有人问了一个关于Web 应用程序中的输入验证策略的问题。

在撰写本文时，最佳答案建议PHP仅使用htmlspecialcharsand mysql_real_escape_string。

我的问题是：这总是足够吗？还有更多我们应该知道的吗？这些功能在哪里分解？

作为在非常大的代码库中对 XSS 漏洞进行永久修复时减轻主要风险的临时快速修复，我正在寻找一个预先存在的 XSS 预防黑名单，它可以合理地防止 XSS。

最好是一组正则表达式。我知道有很多用于测试和烟雾测试等的备忘单，我正在寻找的是用于阻止攻击的预先调整的正则表达式。

我完全知道最好的方法是输出转义，或者如果您需要用户的一些标记才能使用白名单。但是，随着代码库的大小，我们需要一些快速的东西来减少漏洞的直接影响并提高标准，同时致力于真正的解决方案。

有没有人知道一个好的集合？

有人做过吗？基本上，我想通过保留 h1、h2、em 等基本标签来使用 html；清除 img 和 a 标签中的所有非 http 地址；和 HTMLEncode 每隔一个标签。

我被困在 HTML 编码部分。我知道要删除一个节点，您执行“node.ParentNode.RemoveChild(node);” 其中 node 是 HtmlNode 类的对象。我不想删除节点，而是想对它进行 HTMLEncode。

是否有一个包罗万象的功能可以很好地清理用户输入以进行 SQL 注入和 XSS 攻击，同时仍然允许某些类型的 HTML 标记？