Security 显示的输出是否不足以阻止链接注入跨站点脚本编写?
我是处理跨站点脚本问题的新手。我们有404个页面输出未找到的URL,据我所知,javascript可能被恶意替换。为了防止XSS攻击,仅仅删除坏URL的输出就足够了吗?或者我仍然需要根据白名单过滤输入,我正在查看OWASP库:用户的任何输入都有潜在的危险。你收到它-它可以占用你的全部内存:)你显示它-你可能会受到跨站点脚本的伤害。您尝试以任何方式解释它——您有sql/ldap/js/xxx注入。可能还有一些我甚至不知道的攻击。因此,如果您不显示它,那么是的,您可以安全地抵御xss。但是,您仍然应该小心处理用户的数据。OWASP建议很好-白名单过滤是获得更高安全级别的最简单方法Security 显示的输出是否不足以阻止链接注入跨站点脚本编写?,security,xss,owasp,Security,Xss,Owasp,我是处理跨站点脚本问题的新手。我们有404个页面输出未找到的URL,据我所知,javascript可能被恶意替换。为了防止XSS攻击,仅仅删除坏URL的输出就足够了吗?或者我仍然需要根据白名单过滤输入,我正在查看OWASP库:用户的任何输入都有潜在的危险。你收到它-它可以占用你的全部内存:)你显示它-你可能会受到跨站点脚本的伤害。您尝试以任何方式解释它——您有sql/ldap/js/xxx注入。可能还有一些我甚至不知道的攻击。因此,如果您不显示它,那么是的,您可以安全地抵御xss。但是,您仍然应