我在各种情况下听到/读过基于DOM的XSS是由不受信任的客户端输入引起的,开发人员需要遵循OWASP" DOM based XSS Prevention Cheat Sheet"为了减轻它。
我的问题是:无论注入恶意有效负载的位置如何都不能使用本指南(客户端可以来自DOM元素,如URL,或服务器端可以来自前一个请求的参数),如果您是否将不受信任的数据插入到javascript执行上下文中?
让我们不谈在下一种情况下它是否会被称为基于DOM的XSS的争论,因为我更有兴趣知道是否应该应用本指南而不管有效载荷来自哪里(服务器/客户端)如果您将不受信任的数据放在执行上下文中。
答案 0 :(得分:0)
作为一般规则,您绝不应将未经过处理的用户输入放在您网站的任何位置。您不应该显示它,您不应该使用它来形成任何查询,您当然不应该包含它。在任何用户或第三方的任何地方输入任何形式的数据的任何地方,您应该对其进行消毒,并问自己:
如何恶意使用?
SQL注入是值得关注的,当然,XSS也是一个很大的问题。 XSS正在注入然后输出的代码,当然SQLi正在使用输入来形成可能具有灾难性的SQL查询。当然,还有很多其他攻击不是基于注入而且不依赖于用户输入,而是只是清理所有内容以避免任何问题。
希望能回答你的问题,有点难以准确理解你的要求。