[英]How to begin fixing XSS hole in website
我以前从未处理过XSS,但是刚刚收到来自访客的评论,我的网站存在XSS漏洞。
他很高兴向我提供了一个字符串,该字符串激活了显示用户Cookie的提示框。 我在此网站和webapp中有很多代码,如何找到并修复它? 我从哪里开始?
减少(而不是停止)XSS漏洞的一种简单方法是对所有输出进行HTML编码。 您还应该清除某人针对XSS漏洞提交的数据。 在.NET平台上,您可以使用antixss库,在PHP上,您可以使用strip_tags(),无论您使用什么平台,都应该有一些东西,但它们不会达到100%。 并在https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet中查看OWASP XSS备忘单
XSS可能很棘手,堆栈溢出,Gmail,Outlook Web Access过去都具有XSS漏洞。 但是,如果对所有输入和输出都遵循备忘单,则应该可以大大减少问题。 在您的代码中搜索任何回声或响应。
<?= ?>, <%= %>
在转到输入点之后,查找任何Request.Form或$ _GET或$ _POST,但是您正在获取数据输入。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.