【问题标题】:Is not displaying output enough to prevent link injection cross-site scripting?显示输出不足以防止链接注入跨站点脚本吗?
【发布时间】:2012-07-27 19:41:38
【问题描述】:

我是处理跨站点脚本问题的新手。我们有一些 404 页面输出未找到的 URL,据我所知,javascript 可以被恶意替换。为了防止 XSS 攻击,简单地删除错误 URL 的输出就足够了吗?还是我仍然需要以某种方式过滤输入以针对白名单,我正在查看 OWASP 库:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

【问题讨论】:

    标签: security xss owasp


    【解决方案1】:

    用户的任何输入都有潜在的危险。您收到它 - 它可以占用您的全部记忆 :) 您显示它 - 您可能会受到跨站点脚本的伤害。你无论如何都试图解释它 - 你有 sql/ldap/js/xxx 注入。并且可能还有一些我什至不知道的攻击。因此,如果您不显示它,那么是的,您可以安全地抵御 xss。但是,您仍然应该小心用户的数据。 OWASP 建议很好 - 白名单过滤是获得更高级别安全性的最简单方法

    【讨论】:

      猜你喜欢
      • 2020-04-21
      • 2014-01-27
      • 2011-02-16
      • 2015-04-01
      • 2012-07-30
      • 2012-08-12
      • 1970-01-01
      • 2014-05-25
      • 2021-10-17
      相关资源
      最近更新 更多