一个后台管理系统,进行信息安全检测的时候说前端可以进行 xss 注入,要求进行整改。 但是这个需求就是要求用户(客户,基本都是兄弟单位的内部人员)可以输入 html 或者脚本,实现自定义的功能。 请问这个要怎么处理? 谢谢。
1
fucker 2021-02-24 17:54:22 +08:00
XSS 实现的方式多种多样,不同的情况危险等级不同,解决方式也不同。
1. 让安全测试给你提供解决方案 2. 把前端代码贴出来给大伙看看,大伙给你出主意 3. 给我钱,我帮你搞 |
3
mnssbe 2021-02-24 18:03:17 +08:00
html tag 白名单, 用户输入的内容只能自己访问
|
4
wevsty 2021-02-24 18:09:13 +08:00
上一个 HTTP 验证就好了。
|
5
Qetesh 2021-02-24 18:49:49 +08:00 via iPhone
输入加过滤
|
6
MrMario 2021-02-24 18:52:21 +08:00 via iPhone
js 有个 xss 模块,可以白名单形式仅允许特定标签和属性
|
8
daxin945 2021-02-25 15:27:17 +08:00
输入加过滤 +1 可以过滤一些关键字 比如 alert script details 这种通常业务场景中不太常用的标签 但是在 xss 中会被用到的 简单粗暴。 当然 过滤可以在后端做
|