小弟写了一个xss 过滤器 过滤所有参数, 但是前台有一个公共的页面 可以给公众填写意见的, 填写意见相当于写文章一样可以有比如逗号 分号 双引号 等等特殊符号,这样我的过滤器会过掉所有的特殊符号。 文章就会变成没有标点符号的一段文字, 怎么样处理比较好呢,可是我的过滤器又不想放过这些符号 因为放过这些符号可能造成xss攻击
2 回答
侃侃无极
TA贡献2051条经验 获得超10个赞
这种情况就不能做强过滤了。。。
这个稍复杂些,比如使用OWASP API对html、js做相应的转码。或者采用字符白名单的方式,千万不要使用黑名单。。。
添加回答
举报
0/150
提交
取消