Вопрос по xss – Каким образом (лучшая практика) иметь дело с XSS?

4

Я использую ASP.NET и на странице ASP.NET есть атрибут validate, который проверяет проверки XSS. Однако я хотел бы знать, действительно ли этого достаточно?

Я посетил некоторые из связанных постов на stackoverflow, и это помогло мне, но я хочу понять, как планировать XSS при разработке веб-сайтов?

Нужно ли проверять XSS на стороне клиента, а также AJAX? Как это сделать ? Есть ли инструменты, которые могут помочь в тестировании XSS?

Спасибо,

Ваш Ответ

2   ответа
4

Не разрешать ввод HTMLВсегда html кодировать ввод при отображенииИспользоватьAntiXSSLibrary от Microsoft или подобной библиотеки
Вы вставляете в БД то, что ввел клиент. Когда вы отображаете данные, html кодирует их (или использует библиотеку AntiXSS). Oded
@Anil Namde: Никогда не доверяйте ограничениям на стороне клиента, которые вы отражаете для пользователя! Эти ограничения предназначены только для удобства пользователя! Dor
@ Дор - Где я сказал что-нибудь о вставке в БД? Oded
Тогда как бороться с ситуацией, когда мы должны вставить данные в базу данных? мы должны ограничить пользователя при вводе данных на стороне клиента? Anil Namde
2

Похожие вопросы