Ich habe eine "Datenbank" von many XSS attacks gefunden und während diese Liste eine ziemlich große Liste von Angriffen bietet, gibt es andere Angriffe, die nicht in das XML fallen, worauf man achten sollte und am meisten unerwartet ?XSS Attacks Prevention
Antwort
Nicht sicher, was genau Sie suchen, aber wenn Sie XSS-Angriffe auf Ihrer Website verhindern möchten, würde ich sagen, HTML überhaupt nicht zulassen. Wenn Sie HTML zulassen möchten, sehen Sie, wie es in StackOverflow funktioniert.
Sie könnten ein paar Dinge finden, die die andere Seite here verpasst hat.
Es ist ein sehr umfangreiches Thema und benötigt detaillierte und aktuelle Kenntnisse der Techniken, die von Hackern für die Durchführung von XSS verwendet werden. Aber zu Beginn sollten Sie nichts Benutzereingaben vertrauen. Versuchen Sie es als möglichen Versuch, Ihre Website zu hacken oder Ihre Datenbank zu beschädigen.
können Sie viele Reinigungswerkzeuge zur Verfügung verwenden wie mögliche schädliche Eingabe zu entfernen:
für asp.net Microsoft Anti-XSS-Bibliothek, HTML Agility-Pack von Codeplex.
für PHP können Sie sicherlich HTMLPurifier verwenden. Es ist ein sehr schönes und fähiges Werkzeug.
:(Das nächste Mal wird alle Tags vor der Beantwortung lesen. – TheVillageIdiot
Ich habe HTML Purifier verwendet, um Benutzern zu erlauben, nur bestimmte, sichere, HTML in Kommentar-Textfelder vorher einzugeben. Es macht einen sehr guten Job und hat eine sehr gute Dokumentation.
Für alles andere, wie ein einfaches Textfeld oder Auswahlfeld, wenn der Wert auf der Seite zu schreiben Ich betreibe es immer durch htmlentities()
:
htmlentities ($_POST['email'], ENT_QUOTES);
Solange alle Benutzer übermittelten Daten immer geschrieben wird die Seite mit htmlentities()
sollten Sie nie ein XSS-Problem haben.
- 1. Meteor.js und CSRF/XSS Attacks
- 2. Typ 0 (DOM-basiert) XSS Prevention für JSP-Anwendungen
- 3. Anti-XSS Java-Bibliotheken
- 4. XSS Prävention in PHP
- 5. JavaScript MySQL Injection Prevention
- 6. Sql Injection Attacks und Subsonic
- 7. Automatische SQL Injection Prevention php Bibliotheken
- 8. C# zu PHP SQL Injection Prevention
- 9. Verhindern von XSS (Cross-Site Scripting)
- 10. Verhindert die HTML-Codierung XSS-Sicherheitsexploits?
- 11. Wie hilft Timestamp Replay Attacks in Webservices zu verhindern?
- 12. IE8 XSS/JQuery Problem
- 13. Meteor xss Code
- 14. Schützt IsValid() vor XSS?
- 15. XSS-Injektion über Adressleiste
- 16. XSS-Angriffe und Stilattribute
- 17. jQuery XSS Problem
- 18. XSS in DataBinder.Eval
- 19. BBCode mit XSS-Escape?
- 20. verhindert xss Attacken/Injektion
- 21. XSS regulärer Ausdruck
- 22. Verhindern von DOM XSS
- 23. PHP Markdown XSS Sanitizer
- 24. XSS Prävention in playframework1.2.4
- 25. SQL Injection Prevention mit Microsoft Access und VB.NET
- 26. Browser Zurück Schaltfläche Probleme mit CSRF Prevention Mechanisam
- 27. Python-Bibliothek für XSS-Filterung?
- 28. verhindern XSS-Angriffe in JSPs
- 29. JSF SelectItems und Escaping (XSS)
- 30. Wie verhindert jinja2 XSS-Angriffe?
Auch ... HTML nie ohne Whitelisting-Ansatz zulassen. Rollen Sie nicht Ihre eigene Whitelisting-Bibliothek, verwenden Sie einfach eine der Standardbibliotheken. –