5
A
回答
5
取決於上下文。
此外,編碼不僅僅是一個想法的閃光。您應該只是編碼具有特殊的含義,可用於XSS所有字符...
<>"'&
對於編碼小於的簡單示例無關緊要是這樣的...
歡迎來到狡猾的網站。請鏈接到您的主頁。
惡意用戶進入...
http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;
這顯然成爲...
<a href="http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;">View user's website</a>
假如你編碼的雙引號,那攻擊將是無效的。
0
如果你逃避所有的用戶輸入,你應該是安全的。
這意味着所有東西都顯示出來。即使是個人資料上的用戶名。
2
不需要。您必須轉義所有用戶輸入,而不管它包含什麼。
2
還有一種情況,即頁面的編碼計數。也就是說 - 如果您的頁面字符集不正確或在所有適用位置不匹配,則存在潛在的漏洞。詳情請參閱http://openmya.hacker.jp/hasegawa/security/utf7cs.html。
2
根據您使用的框架,許多現在有一個輸入驗證模塊。我在做演講時告訴軟件學生的一個關鍵部分是使用已經存在的輸入驗證模塊!
重新發明方向盤通常比使用已經存在的經過驗證和測試的模塊效率低。 .Net擁有你可能需要的大部分內容 - 非常容易白名單(在你知道唯一允許的輸入的地方)或黑名單(效果不如已知的'壞'東西總是改變,但仍然很有價值)
相關問題
- 1. XSS如何工作,只要我確保我全部替換爲&,然後將所有<替換爲<?
- 2. NSXML將「<」替換爲「%lt;」
- 3. 在我的網站上切換drupal的主題是否安全?
- 4. 將p12轉換爲公共網站中的pem是否安全?
- 5. 如何檢查我網站上的iframe是否安全?
- 6. 我的網站是可以訪問的ftp://ftp.example.com是否安全?
- 7. Microsoft.Office.Interop是否可安全地用於網站的(文件轉換)?
- 8. 我是否應該將Vector <>聲明爲Vector <> *?
- 9. 將我現在的網站更改爲安全網頁
- 10. 是否安全,與在tarray代替XXX的陣列<XXX>
- 11. 什麼是ssl,我如何使我的網站安全?
- 12. 如果我echo「<」
- 13. iframe banner:<?如果連接超時,然後在我的網站
- 14. 如何將<< with > =和>替換爲<=,並用<替換爲<= with >和> =如果它們在同一個字符串中出現多次?
- 15. <span style = ...>是否安全衛生?
- 16. 我需要我的網站幫助。如何修復<a href=""></a>
- 17. 將div的innerHTML替換爲<jsp:inclue>
- 18. 我是否做錯了我的<head>或<script>
- 19. 是否列表<BlockingCollection <T>>線程安全嗎?
- 20. '&'角色是否對xss攻擊安全?
- 21. 如果沒有用戶生成的內容,網站是否安全,避免XSS攻擊?
- 22. django安全崩潰我的網站
- 23. 我可以將列表<Date>轉換爲ArrayList <String>?
- 24. 安全方面,顯示<img>源於.html擴展名是否安全?
- 25. 只是將我的網站移到了SSL,但我有不安全的內容
- 26. 用NSFileManager替換CoreData persistantStore是否安全?
- 27. 用onkeyup()替換JQuery.keyup()是否安全?
- 28. 我怎麼能代替所有的[跨度] [/ SPAN]在我的網站上<span></span>使用jQuery
- 29. 如何將增強安全登錄添加到我的網站
- 30. 我是否需要爲Kendo-UI付費如果我使用它的網站
特別是用戶名。當社交網站上的用戶能夠將JavaScript加入他的用戶名時,就會發生有趣的事情。用戶列表在這些類型的網站上顯示得相當頻繁... :-)話雖如此,你應該逃避每一個用戶輸入,或者說,每一個不可信任的輸入。 – paprika 2010-12-02 01:23:36
@paprika:每個人都會受到用戶名的影響...我沒有想到這一點。 – John 2010-12-02 01:25:15
你真的叫你兒子羅伯特嗎? DROP TABLE學生; - ? – eyelidlessness 2010-12-02 01:26:26