如果网页包含用户输入的下拉菜单,单选按钮,复选框等,并避免文本字段和文本区域以避开不受信任的数据(用户输入的恶意javascript)。 这样的网页是否对XSS免疫? 如果不是如何使用ESAPI保护这样的应用程序。
答案 0 :(得分:2)
您可以使用Firebug编辑浏览器中的表单,只需添加任何名称的字段。
更重要的是,您可以使用您喜欢的任何数据(使用curl或许多其他工具)伪造整个发布/获取请求。
所以:不,不是。
答案 1 :(得分:1)
不一定。输入类型无关紧要,因为请求可以被欺骗(使用GET很容易,但对于POST请求也不会太难)。重要的是在将表单插入页面之前对表单的结果进行清理。