我將允許用戶使用我網站上的鏈接設置圖像。例如個人資料圖片和個人資料鏈接。用於屏蔽XSS網址的模式,以測試
我不會讓他們上傳圖片,但讓他們給我一個URL,我會插入到img src。
我想做一些基本檢查,以瞭解有人可能使用我網站的最佳知道的xss模式,但事實是,我沒有樣本列表來檢查我的功能。實際上,即使我編寫完整的RFC兼容解析器來檢查URL的每個方面,我仍然不知道我應該防範什麼。
我將允許用戶使用我網站上的鏈接設置圖像。例如個人資料圖片和個人資料鏈接。用於屏蔽XSS網址的模式,以測試
我不會讓他們上傳圖片,但讓他們給我一個URL,我會插入到img src。
我想做一些基本檢查,以瞭解有人可能使用我網站的最佳知道的xss模式,但事實是,我沒有樣本列表來檢查我的功能。實際上,即使我編寫完整的RFC兼容解析器來檢查URL的每個方面,我仍然不知道我應該防範什麼。
我會做以下
第一個是確保沒有javascript :, vbscript:等URLS是允許的。第二個是轉義任何字符,可能會導致損壞(如」,」,<,>等)
尚好資源爲圖案,雖然有點過時:http://ha.ckers.org/xss.html 另一個偉大的資源:http://html5sec.org