防止XSS攻击 [英] Preventing XSS attacks
本文介绍了防止XSS攻击的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
使用Java脚本(这将输出百分比编码的十六进制值)转义用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)是否足够?
我基本上只将字母数字输入列入白名单。此外,由于我使用的是百分比编码的十六进制值,因此假设不应该存在UTF编码漏洞。
有人能想到这个机制中有什么安全漏洞吗?
推荐答案
使用Java脚本(我认为这就是您所说的)进行转义似乎不太安全。它在用户的机器上运行,他们可以通过一些努力绕过转义机制。
您尝试做的事情听起来是正确的,但您需要在服务器端进行。
这篇关于防止XSS攻击的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文