如题,只讨论展示用户名(由用户输入)的情况。页面渲染方式为后端拼接字符串,那么限制字段长度小于 15 字可以杜绝 XSS 攻击吗?大家畅所欲言,我是觉得可以。
1
xiaopc 2022-01-19 21:15:16 +08:00
2014 年最短的 XSS ,18 字符
twitter [.]com/xsspayloads/status/785404272796139520 如果有新的可利用 HTML 标签应该还可以再短 不过现在防范 XSS 不是应该通过配置 Content-Security-Policy 头吗 |
2
mercury233 2022-01-19 21:23:52 +08:00 1
小心用户把几个用户名拼起来
|
3
EridanusSora 2022-01-20 10:50:56 +08:00
可能 15 字符不够偷信息或者执行恶意脚本,但是毁了你的页面绰绰有余呀。用户只需要叫<!--就行了
|