Web 如何开始修复网站中的XSS漏洞

Web 如何开始修复网站中的XSS漏洞,web,security,xss,Web,Security,Xss,我以前从未处理过XSS,但我刚刚收到一位访问者的评论,说我的网站存在XSS漏洞 他很好地为我提供了一个字符串,该字符串激活了一个显示用户cookies的提示框。 我在这个网站和webapp中有很多代码,我如何找到并修复它?我从哪里开始?OWASP还提供了API来防止此类攻击。这些API是用几种编程语言编写的 您可以从下载这些API 为什么不去下载那个API(用你喜欢的编程语言)并使用if来清理用户输入。减少(而不是停止)XSS漏洞的一个简单方法是对所有输出进行HTML编码。您还应该清除某人提交的

我以前从未处理过XSS,但我刚刚收到一位访问者的评论,说我的网站存在XSS漏洞

他很好地为我提供了一个字符串,该字符串激活了一个显示用户cookies的提示框。
我在这个网站和webapp中有很多代码,我如何找到并修复它?我从哪里开始?

OWASP还提供了API来防止此类攻击。这些API是用几种编程语言编写的

您可以从下载这些API

为什么不去下载那个API(用你喜欢的编程语言)并使用if来清理用户输入。

减少(而不是停止)XSS漏洞的一个简单方法是对所有输出进行HTML编码。您还应该清除某人提交的XSS漏洞数据。在.NET平台上,您可以使用antixss库,在PHP上,您可以使用strip_tags(),您使用的任何平台都应该有一些东西,但它们不会是100%。并查看

XSS可能很棘手,堆栈溢出、Gmail、Outlook Web Access过去都有XSS漏洞。但是,如果您遵循所有输入和输出的备忘单,您应该能够大大减少问题。在代码中搜索任何回音或响应。编写或

<?= ?>, <%= %>

然后转到输入点,查找任何请求。表单或$\u GET或$\u POST,或以何种方式获取数据输入。

您的站点运行在什么平台上?OWASP Top 10文章是了解XSS的良好起点。在快速概述之后,检查预防备忘单可能是开始查找和修复的快速方法。该网站是建立在HTML5锅炉板上的。PHP和JS中有大量的第三方库。我只是好奇如何找出是哪一个。