如果我允许密码中的所有可能字符,是否存在密码安全/ xss问题?

时间:2013-10-30 17:44:23

标签: security asp-classic passwords xss

是否有理由关注ASP Classic网站上的XSS攻击,该网站允许密码字段中的所有字符?如果是,如何在不限制字符的情况下防止它?

如果密码永远不会显示在任何地方,我认为这不是问题。

(是的,密码不应该能够显示,但假设这是场景。)

谢谢。

2 个答案:

答案 0 :(得分:1)

如果在输出时正确编码,则不然,但是您应该再次实施一个仅输入密码而不输出密码的策略。这也将解决您的XSS问题。

阅读本文以获取有关XSS的更多信息:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

答案 1 :(得分:0)

问题(这是在任何语言/框架中,而不仅仅是ASP / VBScript)几乎总是与您如何处理密码有关,而不是您允许的密码(除了正确的密码要求之外)。

关于XSS(你应该阅读)有很多问题,并处理数据处理的细节以及可以/不能以这种方式利用的内容。

有很多关于密码安全性的问题(您应该阅读)并处理密码要求,加密等细节。