在线观看不卡亚洲电影_亚洲妓女99综合网_91青青青亚洲娱乐在线观看_日韩无码高清综合久久

鍍金池/ 問答/Java  HTML/ xss過濾器

xss過濾器

小弟寫了一個xss 過濾器 過濾所有參數(shù), 但是前臺有一個公共的頁面 可以給公眾填寫意見的, 填寫意見相當(dāng)于
寫文章一樣可以有比如逗號 分號 雙引號 等等特殊符號,這樣我的過濾器會過掉所有的特殊符號。 文章就會變成沒有標(biāo)點符號的一段文字, 怎么樣處理比較好呢,可是我的過濾器又不想放過這些符號 因為放過這些符號可能造成xss攻擊

回答
編輯回答
笨小蛋

應(yīng)該對內(nèi)容轉(zhuǎn)義,肯定不能直接過濾掉符號

2018年9月2日 20:37
編輯回答
玄鳥

應(yīng)該對回顯escape,而不是對輸入做過濾。

2018年4月15日 22:50
編輯回答
冷溫柔

提供一個姿勢,你可以把容易引起xss漏洞的半角字符直接替換成全角字符。

2018年5月19日 19:21
編輯回答
喵小咪

能造成 xss 的特殊符號并不多,逗號和分號是不會造成 xss 的。

處理 xss 并不需要過濾,只需要把幾個特定字符轉(zhuǎn)義輸出即可。參考?文章
http://blog.iamtjcn.com/2017/...

JavaScript 處理 XSS 方法,可以直接使用這個函數(shù)
https://gist.github.com/Thadd...

附贈: XSS 測試用例
https://gist.github.com/Thadd...

2017年5月15日 12:10
編輯回答
帥到炸

這種情況就不能做強過濾了。。。

這個稍復(fù)雜些,比如使用OWASP API對html、js做相應(yīng)的轉(zhuǎn)碼?;蛘卟捎米址酌麊蔚姆绞?,千萬不要使用黑名單。。。

2017年6月18日 16:34