我有一个包含许多文本框的表单。所有文本框都是必填字段。由于这些是文本框,我无法使用特定的 验证除了长度。但我不想让用户插入容易受到xss攻击的标签。
我知道在ColdFusion中我可以使用htmlEditFormat(),encodeForHTML()同时显示用户数据以防止XSS,但我只是想 防止那些插入到db.'GlobalScriptProtect'选项也没有根据我的知识添加太多的安全性。因为我在CF10中,所以不能使用getSafeHTML()
有没有办法阻止这些恶意输入插入CF10中的数据库。我可以进行客户端敏感化吗?
答案 0 :(得分:5)
CFlib.org isXss上有一个UDF,它检查一个值以确定它是否为xss。我已经使用了这个函数并构建了一个自定义标记来检查每个表单字段和查询字符串字段,然后再将其提交给数据库。实现这一点后,我已经能够通过无数的PCI扫描,并且没有任何xss问题。