堆栈内存溢出
  简体   繁体   English

避免xss是否足够?

[英]Is it enough to avoid xss?

 原文  2016-04-14 08:02:36       javascript/ xss

问题描述

当用户将<script>alert('Hello');</script>放在我的网站上,即评论部分时,其翻译为:<script> alert('Hello'); </ script>是否足以避免对我的xss攻击现场?

2 个解决方案

解决方案1
 2 已采纳  2016-04-14 08:06:30

If you convert every < to &lt; 如果将每个<转换为&lt; and every > to &gt; 以及每个>&gt; , it will prevent the user to enter any html tag. ,这将阻止用户输入任何html标签。 So it is enough. 这样就足够了。

解决方案2
 0  2016-04-15 17:46:03

Have a look on these Examples too for better security of your website: 也请查看以下示例,以提高网站的安全性:

1. Best Possible Security for Reflected XSS : 1. 反射XSS的最佳安全性 

<?php 

// Is there any input? 
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] !=     NULL ) { 
// Check Anti-CSRF token 
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

// Get input 
$name = htmlspecialchars( $_GET[ 'name' ] ); 

// Feedback for end user 
echo "<pre>Hello ${name}</pre>"; 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

2. Best Possible Security for Stored XSS : 2. 最佳的存储XSS安全性 

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
// Check Anti-CSRF token 
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

// Get input 
$message = trim( $_POST[ 'mtxMessage' ] ); 
$name    = trim( $_POST[ 'txtName' ] ); 

// Sanitize message input 
$message = stripslashes( $message ); 
$message = mysql_real_escape_string( $message ); 
$message = htmlspecialchars( $message ); 

// Sanitize name input 
$name = stripslashes( $name ); 
$name = mysql_real_escape_string( $name ); 
$name = htmlspecialchars( $name ); 

// Update database 
$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' ); 
$data->bindParam( ':message', $message, PDO::PARAM_STR ); 
$data->bindParam( ':name', $name, PDO::PARAM_STR ); 
$data->execute(); 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 这足以阻止我网站上的 xss 吗? - Will this be enough to prevent xss on my site? XSS预防。处理<脚本就足够了? - XSS prevention. Handling <script is enough? 正确使用 appendChild 避免 XSS - Use appendChild correctly to avoid XSS 转义字符以避免在Java中使用XSS - Escaping characters to avoid XSS in Java 将 val() 清理为 append 以避免 XSS - Sanitize val() to append to avoid XSS HTML 编码尖括号、&amp;、换行符和引号是否足以防止 XSS? - Is HTML encoding angle brackets, &, newline, and quotes enough to prevent XSS? 将用户内容输出到 JavaScript 变量(避免 XSS) - Output user content to JavaScript variable (avoid XSS) 避免使用XSS并允许一些带有JavaScript的html标签 - Avoid XSS and allow some html tags with JavaScript 安全Node.js聊天(避免XSS) - Secure Node.js chat (avoid XSS) 最佳实践与流星webApp避免XSS? - Best Practice with meteor webApp to avoid xss?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM