防止XSS攻击 [英] Preventing XSS attacks

问题描述

我正在创建一个网页，用户可以在其中交互并在远程计算机上执行基本的文件系统操作(创建文件/目录、删除文件/目录、导航文件系统)。 该网页是基本的超文本标记语言(UTF-8编码)和脚本。我需要使此网页具有XSS证明。

使用Java脚本(这将输出百分比编码的十六进制值)转义用户输入中的所有非字母数字字符(以防止基于DOM的XSS)和文件名信息(以防止存储的XSS)是否足够？

我基本上只将字母数字输入列入白名单。此外，由于我使用的是百分比编码的十六进制值，因此假设不应该存在UTF编码漏洞。

有人能想到这个机制中有什么安全漏洞吗？

推荐答案

使用Java脚本(我认为这就是您所说的)进行转义似乎不太安全。它在用户的机器上运行，他们可以通过一些努力绕过转义机制。

您尝试做的事情听起来是正确的，但您需要在服务器端进行。

这篇关于防止XSS攻击的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！