如题,只讨论展示用户名(由用户输入)的情况。页面渲染方式为后端拼接字符串,那么限制字段长度小于 15 字可以杜绝 XSS 攻击吗?大家畅所欲言,我是觉得可以。
This topic created in 1573 days ago, the information mentioned may be changed or developed.
 |
1
xiaopc Jan 19, 2022
2014 年最短的 XSS ,18 字符
twitter [.]com/xsspayloads/status/785404272796139520 如果有新的可利用 HTML 标签应该还可以再短 不过现在防范 XSS 不是应该通过配置 Content-Security-Policy 头吗 |
 |
2
mercury233 Jan 19, 2022  1
小心用户把几个用户名拼起来
|
 |
3
EridanusSora Jan 20, 2022
可能 15 字符不够偷信息或者执行恶意脚本,但是毁了你的页面绰绰有余呀。用户只需要叫<!--就行了
|
Select Language