Разве вывод на экран недостаточен для предотвращения межсайтового скриптинга внедрения ссылок?

Question

Разве вывод на экран недостаточен для предотвращения межсайтового скриптинга внедрения ссылок?

Я новичок в решении проблем межсайтового скриптинга. У нас есть около 404 страниц, которые выводят не найденный URL, где, как я узнал, javascript может быть злонамеренно заменен. Чтобы предотвратить атаку XSS, достаточно ли просто удалить вывод неверного URL? Или мне все еще нужно каким-то образом фильтровать входные данные по белому списку, для которого я искал библиотеку OWASP: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

0

security xss owasp

Источник

user599415 27 июл '12 в 19:41

1 ответ

Решение

Другие вопросы по тегам security xss owasp

user1100135 27 июл '12 в 19:49 2012-07-27 19:49 · Accepted Answer · 2012-07-27 19:49

Любой ввод от пользователя потенциально опасен. вы получаете это - это может занять всю вашу память:) вы отображаете это - вы можете пострадать от межсайтового скриптинга. вы все равно пытаетесь его интерпретировать - у вас есть инъекция sql/ldap/js/xxx. и, вероятно, есть еще несколько атак, о которых я даже не подозреваю. так что если вы не отображаете его, тогда да, вы защищены от xss. однако вы все равно должны быть осторожны с данными пользователя. Советы OWASP хороши - фильтрация белого списка - это самый простой способ получить более высокий уровень безопасности