我發現了一個「數據庫」many XSS attacks,雖然這個列表提供了一個非常大的攻擊列表,但還有其他任何不屬於XML的攻擊,需要注意什麼以及大多數意外?XSS攻擊防護
Q
XSS攻擊防護
3
A
回答
3
不確定你在找什麼,但是如果你想阻止你網站上的XSS攻擊,我會說根本不允許HTML。如果您想允許HTML,請參閱StackOverflow如何執行此操作。
您可能會發現其他網站遺漏了一些東西here。
2
這是一個非常廣泛的話題,需要黑客用於完成XSS的技術的詳細和最新的知識。但首先你不應該信任任何用戶輸入。把它當作潛在的嘗試來破解你的網站或破壞你的數據庫。
您可以使用許多清潔工具可去除像潛在的惡意輸入:
的asp.net微軟反XSS庫,CodePlex從HTML敏捷性包。
對於PHP你當然可以使用HTMLPurifier。這是非常好的和有能力的工具。
+0
:(下次在回答前會讀取所有標籤。 – TheVillageIdiot 2009-07-06 11:43:23
4
我使用HTML Purifier來允許用戶在以前只輸入特定的,安全的HTML到註釋文本框中。它做得非常好,並且具有非常好的文檔。
對於一切,就像一個簡單的文本框,或選擇框,將值寫入頁面時,我總是通過htmlentities()
運行:
htmlentities ($_POST['email'], ENT_QUOTES);
只要所有用戶提交的數據總是被寫入使用htmlentities()
的頁面不應該有XSS問題。
相關問題
- 1. XSS攻擊防範
- 2. Json.Net Wrapper防止Xss攻擊
- 3. angularjs防止XSS攻擊
- 4. PHP:如何完全防止XSS攻擊?
- 5. 預防XSS攻擊的新方法
- 6. 防止SQL注入和XSS攻擊
- 7. 防止Magento中的XSS攻擊
- 8. 防止WCF調用中的XSS攻擊
- 9. 跨站點腳本攻擊(xss)攻擊
- 10. XSS DOM易受攻擊
- 11. 解密此XSS攻擊
- 12. URL中的XSS攻擊
- 13. 如何避免XSS攻擊
- 14. AJAX XSS攻擊和.Net MVC
- 15. XSS攻擊ASP.NET網站
- 16. 檢測DOM XSS攻擊
- 17. 如何保護Angular 2 SPA免受XSS攻擊?
- 18. ModSecurity針對XSS類型0攻擊和影響的保護
- 19. 使用Javascript的CreateElement時防止XSS攻擊
- 20. 創建一個控制器動作參數防XSS攻擊
- 21. 存儲生成的HTML並防止Rails 3中的XSS攻擊
- 22. 使用PHP來防止圖像內的XSS攻擊
- 23. 如何在使用window.location.toString()時防止XSS攻擊
- 24. 如何防止Grails的應用XSS攻擊
- 25. 如何使用轉義防止XSS攻擊?
- 26. 防止XSLT生成的內容中的XSS(和其他攻擊)
- 27. 輕鬆防止XSS或JavaScript相關的攻擊
- 28. 我需要在HTML標籤屬性,以防止XSS攻擊
- 29. 如何防止在src等屬性中發生XSS攻擊?
- 30. 如何清理Java中的HTML代碼以防止XSS攻擊?
另外...絕對不允許沒有白名單方法的HTML。不要推出自己的白名單圖書館,只需使用其中一種標準圖書館。 – 2009-07-06 07:29:20