若问xss的问题

水木社区手机版

主题:若问xss的问题
2楼|dhcn|2015-03-02 09:50:32|展开
都得转义。
如果Java，可以考虑ESAPI.
有些框架模板会自动转义。
【在 guizhidao 的大作中提到: 】
: xss是不是大家开发肯定会考虑的。
: 文本框的value不转义肯定不行。这点可以理解。
: 那么问题是
: ...................
--
FROM 124.42.13.*
4楼|dhcn|2015-03-12 15:01:44|展开
建议把吴瀚清的《白帽子谈Web安全》看一遍。
【在 guizhidao 的大作中提到: 】
: 查了一下，我的理解如下:
: 所谓的xss，
: 攻击方式是，a画面跳转到b画面的时候，文本框（或别的什么）的传值里有攻击代码（js），然后在b画面进行html解析的时候执行。
: ...................
--
FROM 124.42.13.*
6楼|dhcn|2015-03-12 15:24:04|展开
你们单位要有白盒代码扫描工具，看测试结果文档会更实在。
【在 guizhidao 的大作中提到: 】
: 多谢
--
FROM 124.42.13.*
8楼|dhcn|2015-04-02 09:19:51|展开
appscan是黑盒，白盒比如HP的fortify.不过这两个都是要钱的。
【在 guizhidao 的大作中提到: 】
: 大牛给提供个工具名字呗
: 知道个appscan
--
FROM 124.42.13.*

BYR-Team©2010. KBS Dev-Team©2011 登录完整版