我是处理跨站点脚本问题的新手。我们有一些404页面输出未找到的URL,根据我的学习,javascript可以被恶意替换。为了防止XSS攻击,仅仅删除错误URL的输出就足够了吗?或者我仍然需要以某种方式过滤白名单的输入,我正在查看OWASP库:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
答案 0 :(得分:1)
来自用户的任何输入都有潜在危险。你收到它 - 它可以占用你的全部记忆:)你显示它 - 你可能会受到跨站点脚本的伤害。无论如何你试图解释它 - 你有sql / ldap / js / xxx注入。并且可能还有一些我甚至都不知道的攻击。因此,如果您不显示它,那么是的,您对xss是安全的。但是你仍然应该小心用户的数据。 OWASP建议很好 - 白名单过滤是获得更高安全级别的最简单方法