Javascript XSS黑名单——有人知道一个合理的黑名单吗?
作为一个临时的快速修复,可以在很大的代码库中处理XSS漏洞的永久修复时减轻主要风险,我正在寻找一个预先存在的XSS预防黑名单,它可以合理地防止XSS 最好是一组正则表达式。我知道有很多测试和冒烟测试的备忘单,我要找的是用于阻止攻击的预调优regexp 我完全知道最好的方法是或者如果您需要用户提供一些标记来使用白名单。但是,考虑到代码库的大小,我们需要一些快速的方法来减少漏洞的即时影响,并在处理真正的解决方案时提高标准 有人知道一套好的吗?这里有一套:但我不知道它是否完整Javascript XSS黑名单——有人知道一个合理的黑名单吗?,javascript,html,security,xss,Javascript,Html,Security,Xss,作为一个临时的快速修复,可以在很大的代码库中处理XSS漏洞的永久修复时减轻主要风险,我正在寻找一个预先存在的XSS预防黑名单,它可以合理地防止XSS 最好是一组正则表达式。我知道有很多测试和冒烟测试的备忘单,我要找的是用于阻止攻击的预调优regexp 我完全知道最好的方法是或者如果您需要用户提供一些标记来使用白名单。但是,考虑到代码库的大小,我们需要一些快速的方法来减少漏洞的即时影响,并在处理真正的解决方案时提高标准 有人知道一套好的吗?这里有一套:但我不知道它是否完整 CAL9000是另一个列
CAL9000是另一个列表,您可以在其中找到类似的内容。我意识到这可能不是对您问题的直接回答,但类似情况下的ASP.NET开发人员可能会发现这一点很有用: 此库与大多数编码库的不同之处在于,它使用“包含原理”技术来提供针对XSS攻击的保护。这种方法的工作原理是首先定义一组有效或允许的字符,并对该字符集之外的任何内容(无效字符或潜在攻击)进行编码。包含原则方法提供了针对XSS攻击的高度保护,适用于具有高安全性要求的Web应用程序
如果您运行Apache,您可以使用它来关闭一些漏洞。至少它会为您提供一个工具(或普通日志文件)来监控流量并在为时已晚之前做出反应。此外,它还有两个关于web应用程序的有趣规则
再说一次,我真的不知道你在填补什么样的漏洞 ha.ckers.org/xss.html上的备忘单不完整。我的一个同事发现了一两个不在上面的。RSnake确实列出了每个攻击字符串经过的许多正则表达式过滤器。使用一些,你可以关闭足够的洞 这将是一个很好的起点。如果没有别的,那就是要知道你需要寻找什么样的东西 将其用作起点,并确保您编写的脚本具有足够的转义字符,以使您的黑名单中的任何攻击都不会被攻击。如果没有浏览器渲染xss注入有什么好处
事实上,这里大部分的路都是为了逃避足够多的正确角色。很难将XSS注入到一个脚本中,该脚本将每个<转换为
“purify()