输入过滤
本话题发布输入过滤相关的问答文章和技术分享,将持续更新,为您推荐了3篇问答,访问即可查看更多精彩内容。
-
1
回答
5浏览
React组件直接渲染URL参数时如何防范DOM型XSS攻击?
我在做搜索功能时遇到个问题,用户输入的搜索词会通过URL参数保存,然后用React组件显示出来。但测试时发现如果在地址栏输入类似search?query=<script>alert(1)&...
-
2
回答
19浏览
CSS样式中的expression()如何绕过事件属性过滤导致XSS?
我在开发评论系统时发现,即使过滤了所有on开头的事件属性,用户提交的CSS代码还是能触发XSS。比如有人写了个这样的样式: div { width: expression(alert('XSS'));...
-
2
回答
58浏览
URL参数过滤时如何防止XSS攻击绕过?
我在做用户分享链接功能时发现,用户输入的URL参数如果包含alert(1)会被正确拦截,但换成大写或者加注释就能绕过了,该怎么改进过滤逻辑呢? 尝试过用正则/<script>/i匹配标签,...
