XSS - 将以下字符列入黑名单是否足以应对 XSS?
XSS - Does blacklisting of following characters take good enough care of XSS?
我正在将成为 URL 一部分的变量的以下字符列入黑名单。
如果我遗漏或应该排除任何内容,请提出建议。
"~!@#$%^*()+{}[]|<>\"\:;,"
不,它没有。
此外,从不尝试通过黑名单来确保安全。使用白名单。
永远不要尝试过滤 XSS。将您的输出编码为您要写入的格式。对于 HTML(正文和引用属性),然后使用类似 php 的 htmlspecialchars()
.
我正在将成为 URL 一部分的变量的以下字符列入黑名单。
如果我遗漏或应该排除任何内容,请提出建议。
"~!@#$%^*()+{}[]|<>\"\:;,"
不,它没有。
此外,从不尝试通过黑名单来确保安全。使用白名单。
永远不要尝试过滤 XSS。将您的输出编码为您要写入的格式。对于 HTML(正文和引用属性),然后使用类似 php 的 htmlspecialchars()
.