Web 如何开始修复网站中的XSS漏洞

我以前从未处理过XSS，但我刚刚收到一位访问者的评论，说我的网站存在XSS漏洞

他很好地为我提供了一个字符串，该字符串激活了一个显示用户cookies的提示框。

---

我在这个网站和webapp中有很多代码，我如何找到并修复它？我从哪里开始？

OWASP还提供了API来防止此类攻击。这些API是用几种编程语言编写的

您可以从下载这些API

为什么不去下载那个API（用你喜欢的编程语言）并使用if来清理用户输入。

减少（而不是停止）XSS漏洞的一个简单方法是对所有输出进行HTML编码。您还应该清除某人提交的XSS漏洞数据。在.NET平台上，您可以使用antixss库，在PHP上，您可以使用strip_tags（），您使用的任何平台都应该有一些东西，但它们不会是100%。并查看

XSS可能很棘手，堆栈溢出、Gmail、Outlook Web Access过去都有XSS漏洞。但是，如果您遵循所有输入和输出的备忘单，您应该能够大大减少问题。在代码中搜索任何回音或响应。编写或

<?= ?>, <%= %>

，

---

然后转到输入点，查找任何请求。表单或$\u GET或$\u POST，或以何种方式获取数据输入。

您的站点运行在什么平台上？OWASP Top 10文章是了解XSS的良好起点。在快速概述之后，检查预防备忘单可能是开始查找和修复的快速方法。该网站是建立在HTML5锅炉板上的。PHP和JS中有大量的第三方库。我只是好奇如何找出是哪一个。