在我们所有的网站上,我们都实施了GSA搜索功能。最近,已扫描搜索词以查找跨站点脚本漏洞。我知道我们可以在将查询发送到GSA之前使用JavaScript来验证搜索词。但我不确定有多少地方,我们需要实施这个。
我们有没有办法直接在GSA上做到这一点?
答案 0 :(得分:0)
您应该遵循OWASP XSS预防指南。 根据经验,永远不要在未编码的页面上输出内容。
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet