xss过滤器

小弟写了一个xss 过滤器 过滤所有参数, 但是前台有一个公共的页面 可以给公众填写意见的, 填写意见相当于
写文章一样可以有比如逗号 分号 双引号 等等特殊符号,这样我的过滤器会过掉所有的特殊符号。 文章就会变成没有标点符号的一段文字, 怎么样处理比较好呢,可是我的过滤器又不想放过这些符号 因为放过这些符号可能造成xss攻击

阅读 9k
5 个回答

提供一个姿势,你可以把容易引起xss漏洞的半角字符直接替换成全角字符。

应该对回显escape,而不是对输入做过滤。

这种情况就不能做强过滤了。。。

这个稍复杂些,比如使用OWASP API对html、js做相应的转码。或者采用字符白名单的方式,千万不要使用黑名单。。。

应该对内容转义,肯定不能直接过滤掉符号

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题