我正在尝试了解XSS。我有一个ASP页面,有一个输入POST自己。该变量经过URL编码并显示给用户。这是否有必要打败XSS?
如果没有,那么有什么样的有效载荷可以打败这个?
答案 0 :(得分:1)
使用HttpUtility.UrlEncode()编码输出URL和HttpUtility.HtmlEncode()来编码来自用户或其他来源(如数据库)的输入就足够了。
同时控制您的输入。如果您的变量具有特定类型(例如用户名,数字等),则不要输入html标签或“错误”字符。验证输入类型,长度,格式和范围。