我将允许用户在我的网站上设置带有链接的图像。例如简档图片和简档链接。
我不会让他们上传所说的图片,但让他们提供一个url,我将插入到img src中。
我想对一些人可能使用我的网站的最佳xss模式进行基本检查,但问题是,我没有样本列表来检查我的功能是否正常。事实上,即使我编写了一个完整的符合RFC的解析器来检查URL的各个方面,我仍然不知道应该防范什么。
我会执行以下
- 检查URI是否以http://或https:开头//
- URI对URI进行编码,然后将其打印到img src上
第一个是确保不允许使用javascript:、vbscript:等URLS。第二个是逃脱任何可能造成伤害的角色(如",',<,>等)。
仍然是一个很好的模式资源,尽管有点过时:http://ha.ckers.org/xss.html另一大资源:http://html5sec.org
使用OWASP Zed攻击代理(ZAP)扫描它。
ZAP是一个免费的开源安全工具,它非常善于发现XSS漏洞。
Simon(ZAP项目负责人)