我正在努力制作一个防黑客网站,并学习XSS。所以这个过程就是
A: 获取用户输入->B:存储->C:再次显示给客户端
我使用Microsoft AntiXSS库来避免XSS攻击,但是,令人困惑的是,我应该在步骤"B"或步骤"C"执行所需的步骤来避免XSS攻击。
您应该在展示内容的地方进行消毒,因为这是唯一重要的地方。
在更复杂的场景中,您的数据流可能如下所示:
/---> C (presentation)
A (get input) -> B (store)
---> D (process)
如果您已经对B点的数据进行了消毒,那么D点的处理将无法对原始数据进行操作。