如果网页包含用于用户输入的下拉列表,单选按钮,复选框等,并避免文本字段和文本区域逃避不受信任的数据(用户输入的恶意javascript)。这样的网页是否不受XSS的影响?如果不是,如何使用 ESAPI 保护此类应用程序。
您可以使用例如Firebug在浏览器中编辑表单,只需添加具有任何名称的任何字段即可。
更重要的是,您可以使用您喜欢的任何数据(使用 curl 或许多其他工具)伪造整个帖子/获取请求。
所以:不,不是。
> 不一定。输入类型无关紧要,因为请求可以被欺骗(GET 很容易,但 POST 请求不太难)。重要的是,在将表单插入页面之前,对表单的结果进行了清理。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium