没有显示输出足以防止链接注入跨站点脚本?
https://stackoverflow.com//questions/11694650
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我是新的,用于处理跨站点脚本问题。我们有一些404页输出未找到的URL,从我所学到的地方,JavaScript可以恶意替换。为防止XSS攻击,只需删除不良URL的输出就足够了?或者我仍然需要以某种方式过滤对白名单的输入,我正在寻找OWASP库: https://www.owasp.org/index.php/category:owasp_enterprise_security_api
解决方案
用户的任何输入都可能是危险的。你收到它 - 它可以带上你的整个记忆:)你展示它 - 你可以通过跨站点脚本来伤害。您尝试以任何方式解释它 - 您有SQL / LDAP / JS / XXX注入。并且可能还有一些攻击,即我甚至没有意识到。因此,如果您不显示它,那么是的,您可以对XSS安全。但是,您仍然应该小心用户的数据。OWASP建议是良好的 - 白名单过滤是获得更高水平的安全性的最简单方法
不隶属于 StackOverflow
