リンク注入のクロスサイトスクリプティングを防ぐのに十分な出力を表示していませんか?
質問
クロスサイトスクリプティング問題に対処するのに新しい。私たちには、私が学んだことから、JavaScriptが悪意を持って代用することができる、見つからないURLを出力する404ページがあります。XSS攻撃を防ぐために、Bad URLの出力を簡単に削除するのに十分です。それとも私はまだホワイトリストに対して入力をフィルタリングする必要があります。
解決
ユーザーからの入力は潜在的に危険です。あなたはそれを受け取る - あなたの全体のメモリを取ることができます:)あなたはそれを表示します - あなたはクロスサイトスクリプティングによってけがをすることができます。いつでも解釈しようとします - あなたはSQL / LDAP / JS / XXX注入を持っています。そしておそらく私が知らないほど多くの攻撃があります。それで、それが表示されないのであれば、はい、あなたはXSSに対して安全です。ただし、あなたはまだユーザーのデータに注意してください。OWASPアドバイスは良いです - ホワイトリストフィルタリングはより高いレベルのセキュリティを得るための最も簡単な方法です
所属していません StackOverflow