1
我正在尝试解决一个安全漏洞以防xss。编码所有用户输入以防止rXSS
我应该在存储到数据库之前编码所有用户输入,例如<>标记吗?或者我应该将原始输入存储到数据库中,并且仅在从数据库中获取数据并在HTML上显示时才对HTML进行编码?
A
回答
1
反映的XSS是指当脚本未存储时发生的攻击,它向客户端显示相同的输入。例如,在搜索中输入名称,系统的答案是“找不到名称”。在这种情况下,您可以放置脚本而不是名称。
如果您想存储输入以供稍后阅读。它被称为存储的XSS。你如何预防它?这是一个困难的部分。您可以使用白名单验证。如果你的输入是HTML,你可以使用OWASP_Java_HTML_Sanitizer_Project https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project
你什么时候需要使用enconding?您需要根据将使用它的上下文来引用数据。例如,如果您需要在HTML页面上显示数据,则需要在显示数据之前对HTML进行编码。但是,如果您需要在JS脚本上使用它,则需要使用URL enconde。 enconde取决于您使用数据的上下文。
相关问题
- 1. 输出用户输入 - 防止xss
- 2. 防止用户输入一次注销
- 3. 如何防止用户输入?
- 4. 如何防止用户输入小数?
- 5. 如何防止用户输入亵渎?
- 6. CakePHP的防止用户输入URL
- 7. 有没有一种方法可以防止用户输入数字()
- 8. 如何防止用户输入所有字符除了箭头键?
- 9. 防止Ajax.BeginForm从HTML编码输出
- 10. 如何防止用户输入错误的输入?
- 11. 防止VS代码从输入
- 12. Datagrid验证以防止重复输入
- 13. 停止用户输入到编辑框?
- 14. 输出会议之后,用户输入 - 防止XSS
- 15. 防止篡改用户输入和SQL注入失败
- 16. c#编码字符串以防止XSS注入(RegEx ??)
- 17. 当与服务器迭代时阻止所有用户输入
- 18. 如何防止用户在sugarcrm中使用ajax在新密码字段中输入以前的密码?
- 19. 防止用户
- 20. 防止用户输入时组合框更改所选选项。 C#
- 21. 防止或编码”到'
- 22. 如何防止编码HtmlGenericControl?
- 23. android - 用户输入的URL编码
- 24. 硬编码值到用户输入
- 25. 防止更改输入值
- 26. 防止输入型攻击
- 27. 防止Wysiwyg空白输入
- 28. 防止输入错误
- 29. jQuery:防止输入密钥
- 30. 数字输入字段,禁止用户手动输入号码
在这种情况下,我应该只在需要显示数据时进行编码,而不是在将数据存储到数据库时进行编码? – youcanlearnanything
是的,因为你可以在不同的系统中使用数据。可能执行命令或在网页上显示。您需要根据将使用它的系统对数据进行编码。 – reos