我将允许用户使用我网站上的链接设置图像。例如个人资料图片和个人资料链接。用于屏蔽XSS网址的模式,以测试
我不会让他们上传图片,但让他们给我一个URL,我会插入到img src。
我想做一些基本检查,以了解有人可能使用我网站的最佳知道的xss模式,但事实是,我没有样本列表来检查我的功能。实际上,即使我编写完整的RFC兼容解析器来检查URL的每个方面,我仍然不知道我应该防范什么。
我将允许用户使用我网站上的链接设置图像。例如个人资料图片和个人资料链接。用于屏蔽XSS网址的模式,以测试
我不会让他们上传图片,但让他们给我一个URL,我会插入到img src。
我想做一些基本检查,以了解有人可能使用我网站的最佳知道的xss模式,但事实是,我没有样本列表来检查我的功能。实际上,即使我编写完整的RFC兼容解析器来检查URL的每个方面,我仍然不知道我应该防范什么。
我会做以下
第一个是确保没有javascript :, vbscript:等URLS是允许的。第二个是转义任何字符,可能会导致损坏(如”,”,<,>等)
尚好资源为图案,虽然有点过时:http://ha.ckers.org/xss.html 另一个伟大的资源:http://html5sec.org