我正在尝试建立一个防黑客网站并学习XSS。所以这个过程是
A:获取用户输入 - > B:存储它 - > C:再次向客户展示
我正在使用Microsoft AntiXSS库来避免XSS攻击,但是,如果我执行必要的步骤以避免在步骤B' B'或者在步骤C'。
答案 0 :(得分:2)
您应该在展示内容时进行卫生处理,因为这是唯一重要的一点。
在更复杂的情况下,您的数据流可能如下所示:
/---> C (presentation)
A (get input) -> B (store)
\---> D (process)
如果您已经在B点清理了数据,那么D点的处理将无法对原始数据进行操作。