IsValid()을 사용하여 XSS에서 보호하는 전자 메일 주소 또는 URL 형식의 유효성을 검사합니까? 다른 형식이 지정되면 XSS가 무효화됩니까?IsValid()가 XSS로부터 보호합니까?
9
A
답변
10
유효한 URL은 여전히 공격 벡터를 포함 할 수 있습니다 아닌 XSS 공격입니다 위의 부여
<!--- No on CF9 --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123; DROP TABLE Products")#</cfoutput>
<!--- Yes on CF9: hex encoded ';DROP TABLE Products' --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123%3B%20%44%52%4F%50%20%54%41%42%4C%45%20%50%72%6F%64%75%63%74%73")#</cfoutput>
을하지만, 대신 공격에 열을 업데이트하기 위해 변경 될 수 있습니다.
the attacks I could find을 이메일로 확인하지 못하는 것으로 보입니다. 정수, 사회 보장 번호 (SSN), UUID를 등 그의 유일한 데이터 형식 자체가 '문자열'는 필드에, 그러나 ... there's a laundry list of documented potential attacks를 - 일반화로
,isValid()
는 데이터 유형이 유한 한 경우 XSS 공격을 방지하는 데 도움이됩니다. 이 경우
isValid()
은 도움이되지 않으며 대신
OWASP's AntiSamy은 DOM을 탐색하고 허용 목록에없는 항목을 제거하는 유용한 도구입니다.
Best regex to catch XSS (Cross-site Scripting) attack (in Java)?은 XSS 예방에 대한 일반적인 주제에 대해 많은 유용한 정보를 제공합니다.
그리고 마지막 포인트 사용 장황하기 :<cfqueryparam cfsqltype="..." value="...">
업데이트
아니지만 적어도 마지막으로, OWASP XSS Cheat Sheet : 거기에 XSS를 방지하기 위해 입력을 처리하기위한 휴리스틱 최고의 세트.
관련 문제
- 1. AIR에서 내용을 어떻게 보호합니까?
- 2. 이것은 사출 공격으로부터 보호합니까?
- 3. Grails에서 XSRF를 어떻게 보호합니까?
- 4. 하스켈이 람다 함수를 보호합니까?
- 5. 라이선스 파일을 어떻게 보호합니까?
- 6. keytool은 키를 어떻게 보호합니까?
- 7. PHP 폼은 어떻게 보호합니까?
- 8. 우리는 어떻게 Wordpress를 해커로부터 보호합니까?
- 9. 어떻게 장고 관리 사이트를 보호합니까?
- 10. PHP는 SQL 주입으로부터 스스로를 보호합니까?
- 11. 페이로드가 아닌 인증을 어떻게 보호합니까?
- 12. '<'를 '<'으로 바꾸면 내 사이트가 XSS로부터 안전합니까?
- 13. URL을 사용하여 숨겨진 필드 XSS로부터 AJAX를 호출해도 안전한가요?
- 14. PHP - 어떻게 고유 한 변수 이름을 보호합니까?
- 15. 어떻게 mp4 및 flv 비디오를 보호합니까?
- 16. NSURLRequest 게시물을 HTTPS URL 보안으로 보호합니까?
- 17. Windows는 어떻게 커널 모드로의 전환을 보호합니까?
- 18. 이 PDO 코드는 SQL 인젝션을 어떻게 보호합니까?
- 19. .NET Reactor는 MEF (System.Addin) 응용 프로그램을 보호합니까?
- 20. CSV 파일의 코드로 어떻게이 페이지를 비밀번호로 보호합니까?
- 21. 비밀번호는 도메인에 따라 전체 사이트를 보호합니까?
- 22. SSL은 SSL을 통해 전송 된 문서를 보호합니까?
- 23. Wicket을 사용하여 페이지를 어떻게 암호로 보호합니까?
- 24. Apache CXF RESTful API를 어떻게 보호합니까?
- 25. localhost에서만 액세스 할 수있는 webapp을 어떻게 보호합니까?
- 26. 세션의 CSRF 보호 토큰을 안전하게 보호합니까?
- 27. 지문 스캐너는 지문 데이터 저장소를 어떻게 보호합니까?
- 28. 뮤텍스를 사용하여 공통 리소스를 어떻게 보호합니까?
- 29. Linq To Xml에서 Null 참조 예외를 어떻게 보호합니까?
- 30. PHP : 직원의 응용 프로그램/서버/데이터베이스를 어떻게 보호합니까?