小弟写了一个xss 过滤器 过滤所有参数, 但是前台有一个公共的页面 可以给公众填写意见的, 填写意见相当于
写文章一样可以有比如逗号 分号 双引号 等等特殊符号,这样我的过滤器会过掉所有的特殊符号。 文章就会变成没有标点符号的一段文字, 怎么样处理比较好呢,可是我的过滤器又不想放过这些符号 因为放过这些符号可能造成xss攻击
小弟写了一个xss 过滤器 过滤所有参数, 但是前台有一个公共的页面 可以给公众填写意见的, 填写意见相当于
写文章一样可以有比如逗号 分号 双引号 等等特殊符号,这样我的过滤器会过掉所有的特殊符号。 文章就会变成没有标点符号的一段文字, 怎么样处理比较好呢,可是我的过滤器又不想放过这些符号 因为放过这些符号可能造成xss攻击
10 回答11.1k 阅读
15 回答8.4k 阅读
6 回答3k 阅读
5 回答4.8k 阅读✓ 已解决
4 回答3k 阅读✓ 已解决
8 回答6.2k 阅读
2 回答2.6k 阅读✓ 已解决
能造成 xss 的特殊符号并不多,逗号和分号是不会造成 xss 的。
处理 xss 并不需要过滤,只需要把几个特定字符转义输出即可。参考?文章
http://blog.iamtjcn.com/2017/...
JavaScript 处理 XSS 方法,可以直接使用这个函数
https://gist.github.com/Thadd...
附赠: XSS 测试用例
https://gist.github.com/Thadd...