Non viene visualizzato abbastanza output per impedire lo script del retro iniezione del collegamento?

Question

Sono nuovo per affrontare i problemi di scripting cross-site.Abbiamo circa 404 pagine che producono l'URL non trovato dove, da quello che ho imparato, JavaScript può essere malizioso sostituito.Per prevenire un attacco XSS, è sufficiente rimuovere semplicemente l'output del cattivo URL?Oppure devo ancora in qualche modo filtrare l'input contro un whitelist, per il quale stavo guardando la libreria OWASP: https://www.owasp.org/index.php/category:Wasp_enterprise_security_api

Answer 1

Qualsiasi ingresso dall'utente è potenzialmente pericoloso.Lo ricevi - può portare tutta la memoria :) lo visualizzi - puoi essere ferito da scripting a croce.Si tenta di interpretarlo comunque - hai iniezione SQL / LDAP / JS / XXX.E ci sono probabilmente alcuni più attacchi di cui non sono nemmeno a conoscenza.Quindi se non lo viene visualizzato allora sì, sei sicuro contro XSS.Comunque dovresti ancora fare attenzione ai dati dell'utente.I consigli OWASP sono buoni - il filtraggio whitelist è il modo più semplice per ottenere un livello più elevato di sicurezza