避免xss是否足夠?
[英]Is it enough to avoid xss?
問題描述
當用戶將<script>alert('Hello');</script>放在我的網站上,即評論部分時,其翻譯為:<script> alert('Hello'); </ script>是否足以避免對我的xss攻擊現場?
2 個解決方案
解決方案1
2 已采納 2016-04-14 08:06:30
如果將每個<轉換為< 以及每個>到> ,這將阻止用戶輸入任何html標簽。 這樣就足夠了。
解決方案2
0 2016-04-15 17:46:03
也請查看以下示例,以提高網站的安全性:
1. 反射XSS的最佳安全性 :
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$name = htmlspecialchars( $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
// Generate Anti-CSRF token
generateSessionToken();
?>
2. 最佳的存儲XSS安全性 :
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = stripslashes( $message );
$message = mysql_real_escape_string( $message );
$message = htmlspecialchars( $message );
// Sanitize name input
$name = stripslashes( $name );
$name = mysql_real_escape_string( $name );
$name = htmlspecialchars( $name );
// Update database
$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
$data->bindParam( ':message', $message, PDO::PARAM_STR );
$data->bindParam( ':name', $name, PDO::PARAM_STR );
$data->execute();
}
// Generate Anti-CSRF token
generateSessionToken();
?>
HTML 編碼尖括號、&、換行符和引號是否足以防止 XSS?
[英]Is HTML encoding angle brackets, &, newline, and quotes enough to prevent XSS?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.