Não é exibindo a saída suficiente para evitar a injeção de link scripts transversais?
https://stackoverflow.com//questions/11694650
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu sou novo para lidar com problemas de scripts transversais.Temos cerca de 404 páginas que produzem o URL não encontrado onde, do que aprendi, JavaScript pode ser maliciosamente substituído.Para evitar um ataque XSS, é o suficiente para simplesmente remover a saída do URL ruim?Ou eu ainda preciso de alguma forma filtrar a entrada contra um whitelist, para o qual eu estava olhando para a biblioteca do OWASP: https://www.owasp.org/index.php/categoryamasp_enterprise_security_api
Solução
Qualquer entrada do usuário é potencialmente perigoso.Você recebe - ele pode levar toda a sua memória :) Você exibe - você pode ser ferido por script do site.Você tenta interpretá-lo de qualquer maneira - você tem injeção SQL / LDAP / JS / XXX.E provavelmente há mais alguns ataques que eu nem estou ciente.Então, se você não exibir, então sim, você está seguro contra o XSS.No entanto, você ainda deve ter cuidado com os dados do usuário.OWASP Conselhos são bons - a filtragem da Whitelist é a maneira mais fácil de obter mais alto nível de segurança
