需要防止XSS攻击吗?
[英]Need to prevent XSS attacks?
问题描述
我正在做一个允许用户自定义网页的项目。 当前,该用户可以将HTML添加到页面。 根据我的研究,似乎XSS攻击通常用于劫持会话/窃取cookie。 我的问题是,如果不允许访问者在此页面上添加任何内容,并且如果自定义页面的用户是唯一能够登录的人,是否有必要防止XSS攻击? 我的想法不是,因为唯一可以窃取的Cookie是他或她自己的。
1 个解决方案
解决方案1
1 已采纳 2013-01-13 20:27:44
Maaaybe,因为听起来您是在说只有用户A可以看到用户A提交的HTML,但是您仍然必须要小心,因为我们假设用户A知道在用户A上提交的所有数据。她的代表。 考虑以下攻击。
- 欺骗用户A访问我的恶意站点。
- 自动向您的网站提交包含恶意HTML的表单。
- 将用户A重定向到您的网站,他们将在其中看到我的恶意HTML,该HTML会窃取其cookie并将其发送给我。
如果您实施了CSRF保护功能(可以阻止我代表用户提交), 也许会没事,但这仍然有些令人恐惧。 如果用户需要能够使用HTML(但通常不是),请考虑使用HTML Purifier之类的工具,该工具可以使已知的HTML安全,但可以阻止潜在的恶意HTML:这样一来,大多数合法用例可能都会满足,但即使其他安全系统崩溃,XSS也几乎不可能。 它易于实施,并且付出了很小的代价才能获得额外的安全级别。
我是否需要在html标签属性中使用htmlentities()来防止XSS攻击
[英]Do I need to use htmlentities() in html tag attributes to prevent XSS attacks
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.