¿No está mostrando la salida suficiente para evitar la inyección de enlace de secuencias de comandos en el sitio?

Question

Soy nuevo para lidiar con los problemas de scripts de sitios cruzados.Tenemos unas 404 páginas que emiten la URL no encontrada donde, por lo que aprendí, JavaScript puede ser sustituida maliciosamente.Para evitar un ataque XSS, ¿es suficiente simplemente eliminar la salida de la URL mala?O todavía necesito filtrar de alguna manera la entrada contra una lista blanca, para la cual estuve mirando la biblioteca de OWASP: https://www.owasp.org/index.php/category ,Op_Enterprise_Security_api

Answer 1

Cualquier entrada del usuario es potencialmente peligrosa.Lo recibes, puede tomar toda su memoria :) Lo muestra, puede ser herido por scripting de la tienda cruzada.Usted trata de interpretarlo de todos modos, tiene inyección SQL / LDAP / JS / XXX.Y probablemente hay algunos ataques más de los que ni siquiera tengo conocimiento.Entonces, si no lo muestra, entonces, sí, está seguro contra XSS.Sin embargo, aún debería tener cuidado con los datos del usuario.Los consejos de OWASP son buenos, el filtrado de blancos, la forma es la forma más fácil de obtener un nivel más alto de seguridad