Web ページがユーザー入力用のドロップダウン、ラジオ ボタン、チェック ボックスなどで構成されている場合、テキスト フィールドとテキスト領域を避けて、信頼できないデータ (ユーザーが入力した悪意のある JavaScript) を回避します。そのような Web ページは XSS の影響を受けませんか? そうでない場合は、ESAPI を使用してそのようなアプリケーションを保護する方法を教えてください。
2 に答える
2
Firebug などを使用してブラウザーでフォームを編集し、任意の名前のフィールドを追加するだけです。
さらに、(curl や他の多くのツールを使用して) 任意のデータを使用して、post/get 要求全体を偽造することもできます。
だから:いいえ、そうではありません。
于 2014-12-16T15:45:47.043 に答える
1
必ずしも。リクエストはスプーフィングされる可能性があるため、入力タイプは問題ではありません (GET では簡単ですが、POST リクエストではそれほど難しくありません)。重要なのは、フォームの結果がページに挿入される前にサニタイズされることです。
于 2014-12-16T15:46:05.887 に答える