0
我将允许用户使用我网站上的链接设置图像。例如个人资料图片和个人资料链接。用于屏蔽XSS网址的模式,以测试
我不会让他们上传图片,但让他们给我一个URL,我会插入到img src。
我想做一些基本检查,以了解有人可能使用我网站的最佳知道的xss模式,但事实是,我没有样本列表来检查我的功能。实际上,即使我编写完整的RFC兼容解析器来检查URL的每个方面,我仍然不知道我应该防范什么。
A
回答
1
我会做以下
- 检查的URI以http://或https://
- URI打印出来的IMG SRC之前编码URI。
第一个是确保没有javascript :, vbscript:等URLS是允许的。第二个是转义任何字符,可能会导致损坏(如”,”,<,>等)
尚好资源为图案,虽然有点过时:http://ha.ckers.org/xss.html 另一个伟大的资源:http://html5sec.org
1
相关问题
- 1. iPhone:用于测试的射频屏蔽
- 2. 网址屏蔽!使用Htaccess
- 3. Arduino以太网屏蔽MAC地址
- 4. 如何屏蔽网址?
- 5. 如何屏蔽网址
- 6. 禁用集成测试的屏蔽
- 7. IOS。屏蔽网址中的符号
- 8. 如何屏蔽mvc中的网址?
- 9. 屏蔽网址的和它们无效
- 10. 如何屏蔽WordPress oEmbed HTTP网址
- 11. Subdomain,htaccess重写和屏蔽网址
- 12. 重写规则来屏蔽网址
- 13. 将多个网址重写/屏蔽到相同的网址
- 14. 如何屏蔽URL地址?
- 15. 为不在员工中的用户屏蔽网址。 Django
- 16. 测试blob网址
- 17. HTML形式屏蔽格式
- 18. 试图理解屏蔽
- 19. 更改液晶屏蔽的地址
- 20. 掩蔽网址目录
- 21. 如何屏蔽网址中的ipaddress /主机名和端口号?
- 22. 我如何屏蔽Facebook图片的图片网址?
- 23. WordPress的屏蔽多个网址到单个页面
- 24. 全屏模式下测试闪光灯
- 25. 是否可以屏蔽/隐藏冗长的网址,只显示域名?
- 26. 将屏蔽应用于iOS中的blurView
- 27. 使用clusterize和屏蔽UI网格
- 28. 用户国家屏蔽magento网站?
- 29. 屏蔽UI网格隐藏列遗址单元对齐
- 30. 如何写在.htaccess重写规则AJAX网址屏蔽