我将允许用户在我的网站上设置包含链接的图像。例如个人资料照片和个人资料链接。
我不会让他们上传所述图片,但是让他们提供一个我将插入img src的网址。
我想对有人可能使用我的网站的最佳知道xss模式进行基本检查,但事实是,我没有样本列表来检查我的功能是否有效。事实上,即使我编写完整的RFC兼容解析器来检查URL的每个方面,我仍然不知道我应该防范什么。
答案 0 :(得分:1)
我会做以下
第一个是确保不允许使用javascript:,vbscript:等URL。第二个是逃避任何可能造成伤害的角色(如“,”,<,>等)。
仍然是一个很好的模式资源,虽然有点过时了:http://ha.ckers.org/xss.html 另一个很好的资源:http://html5sec.org
答案 1 :(得分:1)