我正在使用ASP.NET,并在ASP.NET页面上有验证属性,它检查XSS验证。不过,我想知道这是否足够?处理XSS的方式(最佳实践)是什么?
我访问了一些在stackoverflow上的相关帖子,这帮助了我,但我期待了解如何在开发网站时规划XSS?
我们是否需要在客户端检查XSS,AJAX呢?怎么做 ?有没有可以帮助测试XSS的工具?
感谢,
我正在使用ASP.NET,并在ASP.NET页面上有验证属性,它检查XSS验证。不过,我想知道这是否足够?处理XSS的方式(最佳实践)是什么?
我访问了一些在stackoverflow上的相关帖子,这帮助了我,但我期待了解如何在开发网站时规划XSS?
我们是否需要在客户端检查XSS,AJAX呢?怎么做 ?有没有可以帮助测试XSS的工具?
感谢,
这些都是最基础的:
查看:Allowing HTML and Preventing XSS @ shiflett.org
虽然人们总是说“插入到数据库时不要修改用户输入”,这可能包含HTML ... – Dor
@Dor - 我在哪里说了关于插入到数据库的任何内容? – Oded
您没有,但是当您收到用户的输入时,通常会将其插入数据库。 – Dor