我已经看过很多关于SO的文章和问题,有关过滤和清理Web表单输入值的潜在XSS问题。
我的问题......如果我们检测到数据中的XSS问题,那么我们不应该抛出异常并且不允许请求进一步发展,而不是过滤或消毒它?
答案 0 :(得分:0)
取决于您期望的数据类型,但无论如何,在某些日志中跟踪某人已尝试过XSS攻击或其他任何数据。
另一个好的做法是在有人尝试XSS攻击时实施警报。如果您有大量流量,您可以每天生成一份报告,其中包含有关当天检测到的攻击的所有信息。
跟踪此信息后,如果您抛出异常或清理数据取决于您,这几个问题可以帮助您: