我已经阻止“脚本”这个词在我的服务器端php验证,并使用htmlentities和strip函数提交。这将保护所有JavaScript相关的攻击?轻松防止XSS或JavaScript相关的攻击
0
A
回答
1
不,有这么多的攻击媒介,因为JavaScript和标记被解释,浏览器喜欢自动修复用户的拼写错误,一些浏览器有不安全的专有支持JavaScript的CSS等,你可以阻止“脚本”,但是什么“scippt”(是的,有些浏览器会修复它)或“scrscriptipt”?当你的简单验证器删除一个脚本时,它实际上会离开另一个。它需要递归。还有onload,onblur,onmove等?有这么多的比较模糊的黑客: http://ha.ckers.org/xss.html
此外,只要能够得到一个链接或者更糟的图像标记将允许用户,让您的客户端和网页上其他人做任意GET请求,其中包括模仿管理员表单(如果您在输入中错误地允许GET和POST) - 为什么您认为Facebook会重写所有发布的链接以首先通过其代理。
对于一个人来说,自己跟踪是太多了。你应该看看这样一个开源的lib,像这样一个人在解决方案上一起工作,并在发现新的攻击时更新: http://htmlpurifier.org/(php)
我确定其他语言有相同的功能。
相关问题
- 1. Json.Net Wrapper防止Xss攻击
- 2. angularjs防止XSS攻击
- 3. XSS攻击防范
- 4. XSS攻击防护
- 5. 防止Magento中的XSS攻击
- 6. 防止WCF调用中的XSS攻击
- 7. PHP:如何完全防止XSS攻击?
- 8. 防止SQL注入和XSS攻击
- 9. 使用Javascript的CreateElement时防止XSS攻击
- 10. 预防XSS攻击的新方法
- 11. 存储生成的HTML并防止Rails 3中的XSS攻击
- 12. 防止XSLT生成的内容中的XSS(和其他攻击)
- 13. 使用PHP来防止图像内的XSS攻击
- 14. 如何防止Grails的应用XSS攻击
- 15. 如何清理Java中的HTML代码以防止XSS攻击?
- 16. 防止PHP中的URL编码XSS攻击
- 17. 如何在使用window.location.toString()时防止XSS攻击
- 18. 如何使用转义防止XSS攻击?
- 19. 我需要在HTML标签属性,以防止XSS攻击
- 20. 如何防止在src等属性中发生XSS攻击?
- 21. HTML编码能够防止各种XSS攻击吗?
- 22. 跨站点脚本攻击(xss)攻击
- 23. XSS脚本攻击攻击 - >无法调用javascript
- 24. 防止输入型攻击
- 25. 防止重复blockchain攻击
- 26. 防止MDX注入攻击
- 27. 如何防止XXE攻击
- 28. html()vs innerHTML jquery/javascript和XSS攻击
- 29. URL中的XSS攻击
- 30. 阻止IP地址,防止DoS攻击
如果你打算成为那么严厉,那么你最好还是将“iframe”加入黑名单。 – 2011-06-17 05:01:31
谢谢,我也会试试 – ktm 2011-06-17 08:51:36