關於跨站腳本問題的另一個問題（XSS）

Question

我一直在尋找關於如何去整合解決方案以防止XSS在我們的網站上的知識的網絡。

我知道stackoverflow在這個話題上有很多問題和回答，但是對於如何解決這個問題還沒有真正清晰的描述。

因此，這裏是另一個試圖徵集關於這個主題的信息。

我們有一箇舊的站點，它建立在JSP Model 1框架上。該網站有一個被俘的觀衆 - 那就是你必須註冊才能提供用戶名/密碼。用戶實際輸入的數據量相當有限 - 搜索條件，出價和發佈庫存以供出售。

我一直在尋找在網站上應用XSS filter的用法。人們已經提出了一些擔憂，即源代碼沒有與該解決方案一起提供，並且存在關於它的安全性的問題。

我也看到了taglibs已經在服務器端添加邏輯的地方。

的問題是：

在客戶端解決XSS足夠足夠還是需要在客戶端上和服務器上加以解決？

過濾器是否足夠或應該與客戶端的JSTL tablib結合使用？除了我提到的那個之外，是否還有其他過濾器 - 因爲我無法在我的搜索中找到一個過濾器。

感謝

Answer 1

我一直在尋找一個XSS過濾器的使用跨網站申請。

我建議避免過濾器，至少在一般情況下。他們可以導致「啊！XSS！」，「不，我只是在寫一個等式」。

要麼逃跑的數據，或者，如果你想允許標記，分析它，併產生的DOM通過白名單中刪除不受歡迎的屬性，元素的URI等

在客戶端充分解決XSS足夠的

不！你不能相信客戶。

還是需要在客戶端和服務器上解決？

它根本不應該被處理客戶端。