2009-07-06 37 views
3

「データベース」がmany XSS attacksであり、このリストにはXMLに該当しないその他の攻撃や、最も予期しないもの、予期しないものがあります?XSS攻撃防止

答えて

3

あなたが探しているものは正確ではありませんが、サイトでXSS攻撃を防止したい場合は、HTMLをまったく許可しないと言います。 HTMLを許可したい場合は、StackOverflowがどのように動作するかを参照してください。

他のサイトが見逃したことがあるかもしれません。here

+0

...ホワイトリストに登録しないとHTMLを許可しないでください。あなた自身のホワイトリストのライブラリをロールしないでください。標準のものを使用してください。 –

2

これは非常に広範なトピックであり、XSSを達成するためにハッカーが使用する技術の詳細な最新の知識が必要です。しかし、まずはユーザー入力を信頼してはいけません。潜在的なサイトのハックやデータベースの破損の試みとしてそれを取る。 asp.netマイクロソフトアンチXSSライブラリの

、CodePlexにからHTML敏捷性パック:

あなたは次のように潜在的な悪質な入力を削除するために利用可能な多くのクリーニングツールを使用することができます。

PHPの場合は、HTMLPurifierを使用することができます。それは非常にいいと有能なツールです。

+0

:次回は、応答する前にすべてのタグを読んでいます。 – TheVillageIdiot

4

私はHTML Purifierを使用して、ユーザーが特定の安全なHTMLをコメントテキストボックスに入力することができました。それは非常に良い仕事をし、非常に良い文書を持っています。ページに値を書き込むとき、私はいつもhtmlentities()を通してそれを実行して、単純なテキストボックス、または選択ボックスのような他のすべてのために

、:

htmlentities ($_POST['email'], ENT_QUOTES); 

限り、すべてのユーザーが投稿したデータは常にに書き込まれるとhtmlentities()を使用しているページでは、XSSの問題は発生しません。

関連する問題