我已经阻止“脚本”这个词在我的服务器端php验证,并使用htmlentities和strip函数提交。这将保护所有JavaScript相关的攻击?轻松防止XSS或JavaScript相关的攻击
0
A
回答
1
不,有这么多的攻击媒介,因为JavaScript和标记被解释,浏览器喜欢自动修复用户的拼写错误,一些浏览器有不安全的专有支持JavaScript的CSS等,你可以阻止“脚本”,但是什么“scippt”(是的,有些浏览器会修复它)或“scrscriptipt”?当你的简单验证器删除一个脚本时,它实际上会离开另一个。它需要递归。还有onload,onblur,onmove等?有这么多的比较模糊的黑客: http://ha.ckers.org/xss.html
此外,只要能够得到一个链接或者更糟的图像标记将允许用户,让您的客户端和网页上其他人做任意GET请求,其中包括模仿管理员表单(如果您在输入中错误地允许GET和POST) - 为什么您认为Facebook会重写所有发布的链接以首先通过其代理。
对于一个人来说,自己跟踪是太多了。你应该看看这样一个开源的lib,像这样一个人在解决方案上一起工作,并在发现新的攻击时更新: http://htmlpurifier.org/(php)
我确定其他语言有相同的功能。
相关问题
- 1. 防止Javascript和XSS攻击
- 2. 防止XSS攻击
- 3. 防止XSS攻击
- 4. CakePHP的:防止XSS攻击
- 5. 防止xss攻击/注入
- 6. Json.Net Wrapper防止Xss攻击
- 7. angularjs防止XSS攻击
- 8. 在javascript中防止xss攻击url
- 9. XSS攻击防护
- 10. XSS攻击防范
- 11. 防止WCF调用中的XSS攻击
- 12. 防止Magento中的XSS攻击
- 13. href安全,防止xss攻击
- 14. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻击
- 15. 防止SQL注入和XSS攻击
- 16. 防止通过URL(PHP)XSS攻击
- 17. jinja2如何防止XSS攻击?
- 18. PHP:如何完全防止XSS攻击?
- 19. 使用Javascript的CreateElement时防止XSS攻击
- 20. 预防XSS攻击的新方法
- 21. 什么是防止ASP.NET中的XSS攻击的通用方法?
- 22. 存储生成的HTML并防止Rails 3中的XSS攻击
- 23. 防止XSLT生成的内容中的XSS(和其他攻击)
- 24. 此代码如何防范XSS攻击?
- 25. 使用.htaccess预防XSS攻击
- 26. 转义<足以防范XSS攻击
- 27. 如何使用防XSS攻击
- 28. 如何防止Grails的应用XSS攻击
- 29. 如何清理Java中的HTML代码以防止XSS攻击?
- 30. 防止托管CMS上的XSS/JS攻击
如果你打算成为那么严厉,那么你最好还是将“iframe”加入黑名单。 – 2011-06-17 05:01:31
谢谢,我也会试试 – ktm 2011-06-17 08:51:36