javascript - 这足以防止我网站上的 xss 吗?
问题描述
我有一个用户很少的小型网站,最近我一直在研究网站安全性并偶然发现了 xss 攻击。我通过自我测试在我的代码中发现了一个漏洞,我可以在其中创建一个用户名,<b>username</b>
并且它会以粗体显示。现在,用户采取的任何操作都会发送到我的服务器进行验证,我已经明确禁止了“ <
”和“ >
”字符。这足以防止 xss 攻击吗?
另外,我的文本字段非常有限(10 个字母),不过,我想这可以通过调用 chrome 开发工具中的函数来绕过?
这会做吗?或者还有什么我应该注意的吗?请注意,该站点不包含要被盗或被黑客入侵的重要数据,我只是希望它得到充分保护,因为 xss 攻击可能非常令人讨厌并重定向用户等等,最终我觉得我的网站以预期的方式工作是有责任的。
解决方案
使用框架。不要尝试再次制造轮子!很多人花费了大量时间来防止 XSS 以及在最大框架中的更多内容。
推荐阅读
- angular - 设置 Mat-Select 的默认值不起作用
- jenkins - launcher.gcr.io/google/jenkins2 不绘制图表
- python-attrs - 如何指定不是类属性的 __init__ 参数
- visual-studio-code - SourceMaps的VSCode Gatsy调试错误
- c# - 表达式树中的访问方法组
- spring - 使用 Spring 处理 Hibernate 乐观锁定
- jquery - 如何从 Header 中检索表单数据信息
- java - OpenStreetMap 标签 - 配置
- android - 我的应用程序在启动时崩溃
- java - 线程“main”java.lang.Error 中的异常:未解决的编译错误:PrintStream i 类型中的方法 printf(String, Object[])