个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
在我们的项目中,为了防止 XSS,我们添加了过滤器 (HttpServletFilter),它可以简单地转义 Json 中所有出现的“<”和“>”(包装用户输入),例如:
json = json.replace("<", "<").replace(">", ">");
问题是:以上足以保证XSS永远不会发生吗?
或者(换句话说)您能否提供会在我们的系统中导致类似 XSS 行为的用户输入示例?
更新:由于一些有用的答案,我了解到,如果用户输入用作 href 属性的源或直接在 JavaScript 中使用,XSS 仍然可能存在。例如。如果三角括号已经出现在潜在用户输入外观周围的位置。
但我们从不以这种方式使用用户输入数据。还有其他建议吗?
最佳答案
简短回答:不,这还不够
请阅读OWASP XSS Prevention Cheat Sheet这解释了 XSS 可能发生的不同环境。
关于java - XSS 预防,最少实现,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36574382/
28
4
0
我正在尝试制作一个 javascript 正则表达式来匹配: 要求:9 个或更多数字。 可选:破折号、正斜杠、加号和空格字符。 禁止:任何其他字符 到目前为止我有 ^[0-9-+\/\s]{9,}$
我正在寻找从字符串中获取频率最高和频率最低的字符的最简单和最快速的方法。我正在使用 PHP $string = "google is good"; o 最多,i、l、e 或 d 最少。这只是一个虚构
我正在使用类似于此示例的雷达图: https://pchart.net/doc.draw.radar.html 我的数据范围从 1 分到 4 分,所以我配置了一些选项: $options = arra
我只想显示带有 的单词最低 4 个字符,实际上我可以限制点击次数并仅显示带有 min 的单词。 100 次点击 - 但我如何设置一个分钟。字符长度?谢谢你! function sm_list_rece
我已经经历了几个“n from M”类型的解决方案,但无法接近我所追求的目标,尽管这个问题可能以前已经以某种其他格式提出过。 我已经尝试过此 MySQL Group By with top N num
有没有办法让我添加 line-hight:22px;任何有两行或更多行的文本。但不影响不进入第二行的文本? 有没有办法只在 css 中实现这个? 最佳答案 您可以使用纯 CSS,但要注意 IE8 及以
我正在尝试测试输入中是否至少有 4 个数字和 1 个字符。我有这个工作,但只有当字符的顺序是0000a , 我希望它无论顺序如何都匹配,所以 00a00 , a0000 , aa00a00a都会匹配模
Fiddle Example 我想检索每种产品最便宜的二手价格和新价格。这是我想要得到的结果: NAME NEW_PRICE NEW_MERCHANT OLD_PRICE OLD_
由于没有 minlength=""用于输入,我如何制作执行以下操作的 if 语句: 如果用户没有输入超过 3 个字符,它将不会保存在数据库中。 这里是输入: QTY 有什么想法吗?? 最佳答案 注意
我有多个重复的 ID,需要将其缩减为一个值。通常我会使用聚合方法来组合列值(作为总和、平均值等)。在这里,我感兴趣的是只保留所有列中具有最多非空值的行: 鉴于此表: id col1 col2
我正在阅读使用 rails 4 进行敏捷 Web 开发的书 在用户模型中我有一个不能少于6个字符的密码验证 validates :password_digest, length: {minimum:
我在当前的 Web 应用程序中确实有以下 RegExp。 function myCyrillicValidator(text){ return XRegExp("^\\p{Cyrillic}+
如何验证一个字段 - 使其至少包含 3 个字母字符。 Valid: Something, Foobar 111. Invalid: ....... 最好的问候。阿斯比约恩莫雷尔 最佳答案 虽然我更喜欢
我使用 Angular-UISelect 来启用对我的下拉列表的搜索。 现在我有一个挑战。 需要创建一个 Controller 级过滤器(作用域为 Controller 而非应用程序),它从用户那里获
我正在尝试在自定义数据集上实现YOLOv2。每个类(class)都需要最少数量的图像吗? 最佳答案 每个类(class)没有用于培训的最低图像。当然,您所拥有的数字越小,模型收敛速度越慢,精度也会降低
我有一个示例数据: id|category_id|name -------------- 1|1|test 1 2|1|test 2 3|1|test 3 4|2|test 4 5|2|test 5
我需要一个可以验证的表达式,如下所示: 1234-567.890-123 最少 13 个数字 最多 3 个特殊字符(“-”和 .)<-- 无论在何处 我的解决方案[0-9]{13,}[-\.]{0,3
所以我认为我做对了? if(!preg_match('^(?=.*[a-z])(?=.*[A-Z])(?=.*\d).+.{7,}$', $passOne)) {
所以我认为我做对了? if(!preg_match('^(?=.*[a-z])(?=.*[A-Z])(?=.*\d).+.{7,}$', $passOne)) {
我正在尝试编写一个正则表达式: 以字母开头 包含一个大写字母和一个小写字母 包含一个数字 不允许特殊字符 最少 8 个字符 到目前为止,我已经使用以下正则表达式设置了大写/小写条件、数字和最小字符要求
我是一名优秀的程序员,十分优秀!