关于信息安全系统检测的问题
資深大佬 : waiaan 3
一个后台管理系统,进行信息安全检测的时候说前端可以进行 xss 注入,要求进行整改。 但是这个需求就是要求用户(客户,基本都是兄弟单位的内部人员)可以输入 html 或者脚本,实现自定义的功能。 请问这个要怎么处理? 谢谢。
大佬有話說 (8)
关于信息安全系统检测的问题
-
資深大佬 : fuckerXSS 实现的方式多种多样,不同的情况危险等级不同,解决方式也不同。
1. 让安全测试给你提供解决方案
2. 把前端代码贴出来给大伙看看,大伙给你出主意
3. 给我钱,我帮你搞 -
主 資深大佬 : waiaan@fucker
我们的需求就是要求能执行自定义的代码,现在是安全检测与我们的需求冲突。 -
資深大佬 : mnssbehtml tag 白名单, 用户输入的内容只能自己访问
-
資深大佬 : wevsty上一个 HTTP 验证就好了。
-
資深大佬 : Qetesh输入加过滤
-
資深大佬 : MrMariojs 有个 xss 模块,可以白名单形式仅允许特定标签和属性
-
主 資深大佬 : waiaan@mnssbe
@wevsty
是什么意思?@Qetesh
@MrMario
就是不能过滤,要允许执行用户提交的代码。 -
資深大佬 : daxin945输入加过滤 +1 可以过滤一些关键字 比如 alert script details 这种通常业务场景中不太常用的标签 但是在 xss 中会被用到的 简单粗暴。 当然 过滤可以在后端做
-