当前位置: 文江博客话题详情

关于跨站脚本(XSS)的另一个问题

发布于 2024-12-05 16:33:50 字数 1459 浏览 1 评论 0原文

原文

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

红墙和绿瓦 2024-12-12 16:33:50

我一直在研究如何使用 XSS 过滤器来应用于整个网站。

我建议至少在一般情况下避免使用过滤器。它们可能会导致“啊!XSS!”、“不,我只是在写一个方程式”。

要么转义数据,要么如果你想允许标记,通过白名单解析它和生成的 DOM,以删除不受欢迎的属性、元素、URI 等。

在客户端解决 XSS 问题是否足够

?不!你不能相信客户。

或者是否需要在客户端和服务器上同时解决?

它根本不应该在客户端处理。

I have been looking at the usage of a XSS filter to apply across the site.

I suggest avoiding filters, at least in general. They can lead to "Ah! XSS!", "No, I was just writing an equation".

Either escape data or, if you want to allow markup, parse it and the generated DOM through a whitelist to remove unwelcome attributes, elements, URIs, etc.

Is addressing XSS at the client side sufficient enough

No! You can't trust the client.

or does it need to be addressed both on the client and on the server?

It shouldn't be handled client side at all.

回复 原文
~没有更多了~

关于作者

晒暮凉

暂无简介

0 文章
0 评论
25 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

已经忘了多久

文章 0 评论 0

15867725375

文章 0 评论 0

LonelySnow

文章 0 评论 0

走过海棠暮

文章 0 评论 0

轻许诺言

文章 0 评论 0

信馬由缰

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文