【发布时间】:2020-12-05 12:14:14
【问题描述】:
根据您自己的经验,友好的网址是否安全?
XSS 总是通过带参数的 url 工作,但是由于友好的 url 没有参数,xss 有什么方法可以使用友好的 url 以及我们如何避免它?
只是想听听你的cmets。
提前致谢!
【问题讨论】:
标签: url xss sql-injection
【发布时间】:2020-12-05 12:14:14
【问题描述】:
URL 格式和安全漏洞这两个概念是完全独立的。
您可以使用两种 URL 格式编写存在安全漏洞的代码。
这两种 URL 格式都不会隐含地使代码安全。
这适用于 XSS 漏洞和 SQL 注入漏洞。这是两种不同类型的安全漏洞,但它们都是由您的代码引起的,而不是由一种 URL 格式或另一种引起的。
XSS not 只能通过带有请求参数的 URL 起作用。 XSS 缺陷发生在您显示数据时未对其进行 html 编码,因此如果数据包含看起来像 HTML 标记的内容(包括 Javascript <script> 标签),那么攻击者可以操纵 HTML 呈现。
【讨论】: