Является ли веб-страница без текстовых полей и текстовых областей невосприимчивой к XSS?
Если веб-страница содержит выпадающие списки, переключатели, флажки и т. Д. Для ввода данных пользователем, избегайте текстовых полей и текстовой области, чтобы избежать ненадежных данных (вредоносный JavaScript-код, введенный пользователем). Является ли такая веб-страница невосприимчивой к XSS? Если нет, то как обезопасить такое приложение с помощью ESAPI.
2 ответа
Вы можете редактировать форму в своем браузере, используя, например, Firebug, и просто добавить любое поле с любым именем.
Более того, вы можете просто подделывать целые запросы post/get с любыми данными, которые вам нравятся (используя curl или многие другие инструменты).
Итак: нет, это не так.
Не обязательно. Тип ввода не имеет значения, потому что запросы могут быть подделаны (легко с GET, но не слишком сложно с запросами POST). Важно то, что результат формы очищается перед вставкой на страницу.