ユーザーが自分のサイトにリンク付きの画像を設定できるようにします。例:プロフィール写真とプロフィールリンク。
私は彼らにその画像をアップロードさせませんが、私がimgsrcに挿入するURLを彼らに与えさせます。
誰かが私のサイトを使用する可能性のある最もよく知られているxssパターンの基本的なチェックを行いたいのですが、機能が動作することをチェックするためのサンプルのリストがありません。現状では、URLのあらゆる側面をチェックするために完全なRFC準拠のパーサーを作成したとしても、何を防ぐべきかはわかりません。
私は次のことをします
1つ目は、javascript:、vbscript:などが許可されていないことを確認することです。URLが許可されます。2つ目は、ダメージを与える可能性のあるキャラクター( "、'、<、>など)をエスケープすることです。
少し古いですが、それでもパターンの優れたリソース:http: //ha.ckers.org/xss.html もう1つの優れたリソース: http: //html5sec.org
OWASP Zed Attack Proxy(ZAP)を使用してスキャンします。
ZAPは無料のオープンソースセキュリティツールであり、XSSの脆弱性を見つけるのに非常に優れています。
サイモン(ZAPプロジェクトリーダー)