是否有理由关注ASP Classic网站上的XSS攻击,该网站允许密码字段中的所有字符?如果是,如何在不限制字符的情况下防止它?
如果密码永远不会显示在任何地方,我认为这不是问题。
(是的,密码不应该能够显示,但假设这是场景。)
谢谢。
答案 0 :(得分:1)
如果在输出时正确编码,则不然,但是您应该再次实施一个仅输入密码而不输出密码的策略。这也将解决您的XSS问题。
阅读本文以获取有关XSS的更多信息:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
答案 1 :(得分:0)
问题(这是在任何语言/框架中,而不仅仅是ASP / VBScript)几乎总是与您如何处理密码有关,而不是您允许的密码(除了正确的密码要求之外)。
关于XSS(你应该阅读)有很多问题,并处理数据处理的细节以及可以/不能以这种方式利用的内容。
有很多关于密码安全性的问题(您应该阅读)并处理密码要求,加密等细节。