我正在使用ASP.NET,並在ASP.NET頁面上有驗證屬性,它檢查XSS驗證。不過,我想知道這是否足夠?處理XSS的方式(最佳實踐)是什麼?
我訪問了一些在stackoverflow上的相關帖子,這幫助了我,但我期待了解如何在開發網站時規劃XSS?
我們是否需要在客戶端檢查XSS,AJAX呢?怎麼做 ?有沒有可以幫助測試XSS的工具?
感謝,
我正在使用ASP.NET,並在ASP.NET頁面上有驗證屬性,它檢查XSS驗證。不過,我想知道這是否足夠?處理XSS的方式(最佳實踐)是什麼?
我訪問了一些在stackoverflow上的相關帖子,這幫助了我,但我期待了解如何在開發網站時規劃XSS?
我們是否需要在客戶端檢查XSS,AJAX呢?怎麼做 ?有沒有可以幫助測試XSS的工具?
感謝,
這些都是最基礎的:
查看:Allowing HTML and Preventing XSS @ shiflett.org
雖然人們總是說「插入到數據庫時不要修改用戶輸入」,這可能包含HTML ... – Dor
@Dor - 我在哪裏說了關於插入到數據庫的任何內容? – Oded
您沒有,但是當您收到用戶的輸入時,通常會將其插入數據庫。 – Dor