保护XSS的可靠方法？

我已经查看了问题,但我还没有看到有人问这个问题.

在某些用户提交的内容中删除任何类型的XSS尝试的确定方法是什么？我知道<并且>应该分别转换为<和>但是我听说过编码差异也可以解决这个问题.

假设白名单,完全清理一些用户提交的内容以确保不存在XSS漏洞的所有步骤是什么？

dusoft.. 5

http://htmlpurifier.org/ - HTMLPurifier可能会有所帮助

ps:不要创建自己的代码,没有办法可以涵盖所有问题.依赖于不断开发的库,如HTMLPurifier.

http://htmlpurifier.org/ - HTMLPurifier可能会有所帮助

ps:不要创建自己的代码,没有办法可以涵盖所有问题.依赖于不断开发的库,如HTMLPurifier.

由于人们每天都会发现新的攻击媒介,因此没有绝对安全的XSS.有时XSS甚至是一个浏览器错误,你无法做任何事情(除了一些解决方法).

要了解复杂性,请查看此(不完整)xss攻击备忘单.

http://ha.ckers.org/xss.html

猜猜你应该让自己成为XSS专家或雇用一个人来实现你的目标.

您可以从检查上面给定链接的攻击向量开始,尝试理解它为什么可以工作并确保您阻止它.

防止XSS的另一个好方法是确保你只接受你期望的东西,而不是阻止你知道不好的东西.(即白名单而不是黑名单)