0
我將允許用戶使用我網站上的鏈接設置圖像。例如個人資料圖片和個人資料鏈接。用於屏蔽XSS網址的模式,以測試
我不會讓他們上傳圖片,但讓他們給我一個URL,我會插入到img src。
我想做一些基本檢查,以瞭解有人可能使用我網站的最佳知道的xss模式,但事實是,我沒有樣本列表來檢查我的功能。實際上,即使我編寫完整的RFC兼容解析器來檢查URL的每個方面,我仍然不知道我應該防範什麼。
A
回答
1
我會做以下
- 檢查的URI以http://或https://
- URI打印出來的IMG SRC之前編碼URI。
第一個是確保沒有javascript :, vbscript:等URLS是允許的。第二個是轉義任何字符,可能會導致損壞(如」,」,<,>等)
尚好資源爲圖案,雖然有點過時:http://ha.ckers.org/xss.html 另一個偉大的資源:http://html5sec.org
1
相關問題
- 1. iPhone:用於測試的射頻屏蔽
- 2. 網址屏蔽!使用Htaccess
- 3. Arduino以太網屏蔽MAC地址
- 4. 如何屏蔽網址?
- 5. 如何屏蔽網址
- 6. 禁用集成測試的屏蔽
- 7. IOS。屏蔽網址中的符號
- 8. 如何屏蔽mvc中的網址?
- 9. 屏蔽網址的和它們無效
- 10. 如何屏蔽WordPress oEmbed HTTP網址
- 11. Subdomain,htaccess重寫和屏蔽網址
- 12. 重寫規則來屏蔽網址
- 13. 將多個網址重寫/屏蔽到相同的網址
- 14. 如何屏蔽URL地址?
- 15. 爲不在員工中的用戶屏蔽網址。 Django
- 16. 測試blob網址
- 17. HTML形式屏蔽格式
- 18. 試圖理解屏蔽
- 19. 更改液晶屏蔽的地址
- 20. 掩蔽網址目錄
- 21. 如何屏蔽網址中的ipaddress /主機名和端口號?
- 22. 我如何屏蔽Facebook圖片的圖片網址?
- 23. WordPress的屏蔽多個網址到單個頁面
- 24. 全屏模式下測試閃光燈
- 25. 是否可以屏蔽/隱藏冗長的網址,只顯示域名?
- 26. 將屏蔽應用於iOS中的blurView
- 27. 使用clusterize和屏蔽UI網格
- 28. 用戶國家屏蔽magento網站?
- 29. 屏蔽UI網格隱藏列遺址單元對齊
- 30. 如何寫在.htaccess重寫規則AJAX網址屏蔽