我之前从未处理过XSS,但我刚收到一位来自我的网站有XSS漏洞的评论。
他足够好,可以为我提供激活显示用户cookie的提示框的字符串。 我在这个网站和webapp中有很多代码,我如何找到并修复它?我从哪里开始?
答案 0 :(得分:0)
答案 1 :(得分:0)
减少(不停止)XSS漏洞的一种简单方法是对所有输出进行HTML编码。您还应该清除某人提交的XSS漏洞数据。在.NET平台上你可以使用antixss库,在PHP上你可以使用strip_tags(),对于你正在使用的任何平台应该有一些东西,但它们不会是100%。并查看OWASP XSS Cheat Sheet上的https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS可能很棘手,Stack Overflow,Gmail,Outlook Web Access过去都有XSS漏洞。但是如果你按照备忘单进行所有输入和输出,你应该能够大大减少问题。在代码中搜索任何echo或response.write或
<?= ?>, <%= %>
在转移到输入点之后,查找任何Request.Form或$ _GET或$ _POST,或者您正在获取数据输入。