N'affiche pas suffisamment la sortie pour empêcher les scripts croisés d'injection de liaison?

Question

Je suis nouveau pour traiter des problèmes de script de cross-sites.Nous avons quelque 404 pages qui diffusent l'URL non trouvée où, à partir de ce que j'ai appris, JavaScript peut être substitué malicieusement.Pour empêcher une attaque XSS, est-ce suffisant pour simplement supprimer la sortie de la mauvaise URL?Ou est-ce que j'ai encore besoin de filtrer en quelque sorte l'entrée contre un whitelist, pour laquelle je cherchais la bibliothèque Owasp: https://www.owasp.org/index.php/category:owasp_enterprise_security_api

Answer 1

Toute entrée de l'utilisateur est potentiellement dangereuse.Vous le recevez - cela peut prendre toute votre mémoire :) Vous l'affichez - vous pouvez être blessé par des scripts de site croisés.Vous essayez de l'interpréter de toute façon - vous avez une injection SQL / LDAP / JS / XXX.Et il y a probablement quelques autres attaques que je ne suis même pas au courant.Donc, si vous ne l'affichez pas, vous êtes en sécurité contre XSS.Cependant, vous devriez toujours faire attention aux données de l'utilisateur.Les conseils d'Owasp sont bons - Le filtrage Whitelist est un moyen le plus simple d'obtenir un niveau de sécurité plus élevé