我们在HTTP请求的json send-in主体中收到用户输入的url。我们将其存储在DB中,稍后我们在<form id="cxmlPost" action="<CALLBACKURL>" method="post">中使用此url,这是用户提供的url。我们在这里看到了存储XSS的可能性。需要有关如何保护我们的应用程序免受存储XSS攻击的指导。验证或清除用户输入URL的最佳做法是什么。
在做了一些研究之后,我首先验证了URL,看看它是否是有效的URL,并在发布任何内容之前对其进行了utf-8编码。为我做了这项工作