在站點之一,我發現,在statemement文章:接受列表的方法解釋AntiXSS
的AntiXSS庫需要一個接受的列表法,而.NET框架需要阻止列表法。
請解釋一下請問這是什麼意思accepted-list approach
和blocked-list approach
???
在站點之一,我發現,在statemement文章:接受列表的方法解釋AntiXSS
的AntiXSS庫需要一個接受的列表法,而.NET框架需要阻止列表法。
請解釋一下請問這是什麼意思accepted-list approach
和blocked-list approach
???
在安全的說法接受列表方法被稱爲一個 白名單方法; 已禁止列表方法被稱爲黑名單方法。
請參考此處的討論What is whitelist and blacklist data?或谷歌黑名單vs白名單。
Fiction from hollywood: 讓我們想象一下影響整個世界的病毒爆發(如生化危機電影中的生物病毒爆發)。你沒有受到感染,你一個人留下,你有預感,有一些人沒有像你一樣感染。病毒攻擊後,人們需要2-3小時才能意識到這種感染併成爲殭屍。你想建立一個安全的設施,以免被感染。在無線電通訊中,你聽說有些製藥公司已經發明瞭這種病毒的疫苗。
現在你必須建立一個周界安防系統,爲您的安全設施兩種方法:
講起這是一個更安全的approa CH。
讓我們把所有的跨站點腳本(XSS)的背景下
黑名單的做法:阻止所有標籤/串像< SCRIPT>,javascript中,SRC,對象,類,輸入,圖像,。更全面的名單 - https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
缺點:此黑名單過濾器將錯過新推出的HTML5標籤的漏洞像<視頻>,<圖片>等,因爲黑名單還不知道視頻和圖片標籤可能會被濫用,誰知道可能會有更多的實例。 https://html5sec.org/
白名單的方法:只允許已知標籤是安全的,例如< P> < B> < I> <強> < UL> < LI>。
優點:因爲你信任喜歡< P> < B>(就像他們接種疫苗),並拒絕一切標籤你比黑名單的方法更安全。其他一切都包含可能不安全的標籤以及您不關心的標籤。你所關心的只是已知的安全,而你只接受這一點。
白名單驗證通常超出標籤,其中也包括css類和javascript事件。如果不是Microsoft AntiXSS,請嘗試使用OWASP AntiSamy。
更多閱讀: