V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
waiaan
V2EX  ›  问与答

关于信息安全系统检测的问题

  •  
  •   waiaan · 2021-02-24 17:31:00 +08:00 · 937 次点击
    这是一个创建于 1379 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个后台管理系统,进行信息安全检测的时候说前端可以进行 xss 注入,要求进行整改。 但是这个需求就是要求用户(客户,基本都是兄弟单位的内部人员)可以输入 html 或者脚本,实现自定义的功能。 请问这个要怎么处理? 谢谢。

    8 条回复    2021-02-25 15:27:17 +08:00
    fucker
        1
    fucker  
       2021-02-24 17:54:22 +08:00
    XSS 实现的方式多种多样,不同的情况危险等级不同,解决方式也不同。
    1. 让安全测试给你提供解决方案
    2. 把前端代码贴出来给大伙看看,大伙给你出主意
    3. 给我钱,我帮你搞
    waiaan
        2
    waiaan  
    OP
       2021-02-24 17:58:05 +08:00
    @fucker
    我们的需求就是要求能执行自定义的代码,现在是安全检测与我们的需求冲突。
    mnssbe
        3
    mnssbe  
       2021-02-24 18:03:17 +08:00
    html tag 白名单, 用户输入的内容只能自己访问
    wevsty
        4
    wevsty  
       2021-02-24 18:09:13 +08:00
    上一个 HTTP 验证就好了。
    Qetesh
        5
    Qetesh  
       2021-02-24 18:49:49 +08:00 via iPhone
    输入加过滤
    MrMario
        6
    MrMario  
       2021-02-24 18:52:21 +08:00 via iPhone
    js 有个 xss 模块,可以白名单形式仅允许特定标签和属性
    waiaan
        7
    waiaan  
    OP
       2021-02-25 09:16:03 +08:00
    @mnssbe
    @wevsty
    是什么意思?

    @Qetesh
    @MrMario
    就是不能过滤,要允许执行用户提交的代码。
    daxin945
        8
    daxin945  
       2021-02-25 15:27:17 +08:00
    输入加过滤 +1 可以过滤一些关键字 比如 alert script details 这种通常业务场景中不太常用的标签 但是在 xss 中会被用到的 简单粗暴。 当然 过滤可以在后端做
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6014 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 56ms · UTC 02:05 · PVG 10:05 · LAX 18:05 · JFK 21:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.