什麼是可用於確定字符串是否爲XSS(跨站點腳本)安全風險的正則表達式?XSS正則表達式
Q
XSS正則表達式
4
A
回答
5
這取決於正在使用該字符串的上下文。
例如,如果正在打印出字符串作爲一個HTML頁面的一部分,則該特殊的HTML字符<
,>
,"
,和'
可能潛在地XSS風險。
如果它通過JSON傳遞,那麼'
和"
可能是XSS風險。
如果它被包含在SQL語句中(它確實不應該,至少不是直接使用參數化查詢),那麼像;
和反引號之類的東西可能會成爲問題。
Et cetera。
0
在用戶數據生成的html中查找任何未編碼的<
字符。沒有任何<
字符,就不會有注入您網站的惡意html。
如果您想允許用戶生成的格式,然後將允許的html限制爲子集。用正則表達式來檢查這是不可能的,所以我推薦一個好的html解析器。
3
永遠不可能有防彈功能來阻止所有的xss,並且正則表達式不是最佳選擇。 XSS高度依賴於頁面上的何處以及限制文件的內容,如"
'
<
>
是一個好的開始,但決不是一個全面的解決方案。即使停止這些字符,也有MANY other ways of exploiting XSS.僅舉幾例,有惡意的href的:javascript:alert(/xss/)
和注入事件處理程序:onload=alert(/xss/)
,如果您篩選列出的4個字符,將會停止其中的任何一個。
HTMLPurifier由幾千個正則表達式構成,它一直被繞過。
相關問題
- 1. 正則表達式xss
- 2. Java正則表達式保護xSS
- 3. 正則表達式(正則表達式)
- 4. 正則表達式(正則表達式)
- 5. 正則表達式(正則表達式)
- 6. 正則表達式正則表達式正則表達式使用正則表達式,但不是與Python
- 7. 正則表達式正則表達式返回的值正則表達式
- 8. 正則表達式正則表達式模仿正則表達式
- 9. PHP-MySQLi替換爲正則表達式/正則表達式/正則表達式
- 10. 正則表達式表達
- 11. 正則表達式表達
- 12. 正則表達式表達
- 13. 防止XSS或其他東西的正則表達式?
- 14. 正則表達式作爲針對XSS的第一道防線
- 15. 用於捕捉特殊XSS行的Javascript正則表達式
- 16. Java正則表達式組與。* vs正常正則表達式
- 17. Nintex正則表達式模式正則表達式
- 18. 設置從正則表達式模式到正則表達式?
- 19. 正則表達式(正則表達式)模式匹配
- 20. Python的正則表達式:「喜歡」正則表達式模式?
- 21. 形式的Java正則表達式PHP正則表達式
- 22. 正則表達式
- 23. 正則表達式
- 24. 正則表達式
- 25. 正則表達式
- 26. 正則表達式
- 27. 正則表達式
- 28. 正則表達式
- 29. 正則表達式
- 30. 正則表達式
上下文是我需要確定代碼生成的字符串是否包含符合Xss的文本。我在網上看到了一些例子,但我想知道是否有人有我可以借用的久經考驗的正式快遞? – Phil 2011-01-07 03:18:55