Zeigt keine Ausgabe aus, um das Verhindern von Link Injection Cross-Site-Scripting zu verhindern?
https://stackoverflow.com//questions/11694650
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin neu, um mit Cross-Site-Skriptproblemen umzugehen.Wir haben rund 404 Seiten, die die nicht gefundene URL ausgeben, wo, von dem, was ich gelernt habe, ein Javascript böswillig ersetzt werden kann.Um einen XSS-Angriff zu verhindern, reicht es aus, um einfach die Ausgabe der schlechten URL zu entfernen?Oder muss ich immer noch die Eingabe gegen einen Whitelisten filtern, für den ich auf die Owasp-Bibliothek suchte: https://www.owasp.org/index.php/category:owasp_enterprise_security_api
Lösung
Jede Eingabe vom Benutzer ist möglicherweise gefährlich.Sie erhalten es - es kann Ihre gesamte Erinnerung annehmen :) Sie zeigen es - Sie können durch Kreuzstätten-Skripts verletzt werden.Sie versucht, dies zu interpretieren - Sie haben SQL / LDAP / JS / XXX-Injektion.Und es gibt wahrscheinlich ein paar weitere Angriffe, von denen ich nicht einmal bewusst bin.Wenn Sie es nicht anzeigen, dann sind Sie gegen XSS sicher.Sie sollten jedoch immer noch mit den Daten des Benutzers vorsichtig sein.Owasp-Ratschläge sind gut - Whitelist-Filterung ist der einfachste Weg, um ein höheres Sicherheitsniveau zu erhalten
