是否可以仅使用字母数字输入对Web应用程序进行XSS攻击?
让我在这里解释一下我的意图:如果单独使用字母数字输入无法进行xss攻击,那么我可以使用拦截所有非字母数字输入的截取过滤器保护我的应用程序。
我理解这样的解决方案:
答案 0 :(得分:1)
似乎您实现了没有错误的过滤器,然后对于Web应用程序来说它是不可能的(例如,如果您只接收ASCII字母字符并以此格式读取它们。如果您按照一种格式过滤并根据另一种格式进行解释 - 这可能有问题。)
请参阅Preventing XSS attacks,并阅读OWASP相关文章:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet。您可以在上一个参考文献中看到通常所有字符但字母数字字符都被转义,因此它是另一个指示它应该没问题(如果您实现它没有错误)。