-1
我试图从用户名输入中过滤掉XSS的所有可能性,同时仍允许输入外部名称。如何从Java用户输入中过滤掉所有非单词字符
用多种语言(也包括中文,日文和俄文)列出所有单词字符的最佳方法是什么?
这可能吗?用“<>><”创建XSS黑名单很容易,但黑客可以解决这个问题。
A
回答
3
我想你可能是从错误的方向接近问题。
通常情况下,防止XSS恶意攻击是确保您在网站上显示的任何用户生成的内容得到正确转义的情况。
通过这种方式,您可以确保显示的内容与用户输入的内容完全相同,而不会让您的白名单无意中让一些不好的情况发生。
相关问题
- 1. 如何过滤掉用户在c#中输入字符的字符?
- 2. Javascript:使用字典过滤掉字符串中的单词?
- 3. 使用grep从停用词文件中过滤掉单词
- 4. 如何从Java中的用户获取单个字符输入?
- 5. Java:读取文本文件。过滤所选单词。输入ArrayList
- 6. 用记事本++过滤掉单词吗?
- 7. WPF:如何从Fonts.SystemFontFamilies中过滤掉非罗马字体?
- 8. 过滤掉字符串列
- 9. 如何查找给定字典中的所有输入单词?
- 10. 如何过滤用户输入字符串并存储新的过滤数组
- 11. 过滤掉从字典
- 12. 在Java中过滤非法XML字符
- 13. 从Java中的字符串中删除所有非“单词字符”,留下重音字符?
- 14. 如何使用C#从字符串中单独检查/过滤大写单词?
- 15. 过滤掉非现有项目
- 16. Java的字符串过滤掉不需要的字符
- 17. 如何从JTextField中的用户键盘输入过滤非法/禁止的文件名字符?
- 18. 过滤掉加入
- 19. 删除所有非单词字符,除非&或'模式
- 20. 猪拉丁练习适用,但只适用于一个用户输入的单词。并非所有单词
- 21. 如何过滤除Java中的单词,数字和几个符号之外的所有内容?
- 22. 如何让用户不能输入任何非数字字符
- 23. PHP过滤字符串输入,切断所有换行符,1个字符
- 24. 如何过滤掉字符串中的所有字母但不是全部特殊字符
- 25. 如何过滤出Java中的非法XML字符
- 26. 过滤用户输入
- 27. 过滤用户输入
- 28. 删除所有非单词字符的简单方法
- 29. 如何从DIA SDK过滤非内核(用户导入的)dll?
- 30. 如何使用排列从输入中找到所有可能的单词?
从我一直在阅读的文章中,我得到的印象是,你应该有一个非常严格的白名单,因为黑客会找到你的黑名单(例如http://ha.ckers.org/xss.html)但是,在这种情况下,我想要一个不会将输入限制为仅美国(或西欧)ASCII的白名单,但同时也是“完全”XSS漏洞。 – tksu 2009-06-01 12:15:35