一家安全公司突擊審計了我工作的一個網絡應用程序,並告訴我存在XSS漏洞。我不知道從哪裏開始。我如何知道我的AJAX請求是否容易受到XSS?
這是AJAX:
new Form.Observer('filter', 0.5, function(element, value)
{
startLoad('proposals');;
new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter',
{
asynchronous:true, evalScripts:true, onComplete:function(request)
{
}, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere')
})
});
你使用什麼網絡服務器?可能有一個XSS過濾器可以放在服務器端。 – Annie 2011-06-07 20:31:35
另外,爲什麼你將evalScripts設置爲true?有沒有你想要執行的腳本?如果他們可以包含用戶輸入,則需要對其進行消毒。 – Annie 2011-06-07 20:32:13
另一個問題 - 「提案」中應該包含哪些內容 - 是純文本還是服務器生成HTML? – Annie 2011-06-07 20:35:41