我找到了一个 "数据库",里面有 许多XSS攻击 而这个列表提供了相当大的攻击清单,是否有任何其他的攻击,没有落在XML,什么要注意和最意想不到的?
我已经使用 HTML净化器 以允许用户在评论文本框前只输入特定的、安全的、HTML。它做得非常好,而且有非常好的文档。
对于其他所有的东西,比如一个简单的文本框,或者选择框,当把值写到页面上时,我总是把它通过 htmlentities():
htmlentities ($_POST['email'], ENT_QUOTES);
只要所有用户提交的数据都会被写到页面上,就会使用 htmlentities() 你不应该有XSS问题。
不知道你到底在找什么,但如果你想防止XSS攻击你的网站,我会说根本不允许HTML。如果你想允许HTML,看看StackOverflow是怎么做的。
你可能会发现一些其他网站所遗漏的东西。此处.
这是一个非常广泛的话题,需要详细和最新的知识,黑客用来完成XSS的技术。但首先,你不应该相信任何用户输入的东西。把它作为潜在的尝试,黑客入侵你的网站或破坏你的数据库。
你可以使用许多清洁工具,以消除潜在的恶意输入,如。
对于asp.net微软Anti-XSS库,HTML Agility Pack从codeplex。
对于PHP,你当然可以使用HTMLPurifier。它是一个非常好的和有能力的工具。