Я видел много статей и вопросов по SO, касающихся фильтрации и очистки входных значений веб-форм для потенциальных проблем XSS.
Мой вопрос … Если мы обнаружим в данных проблемы XSS, то не должны ли мы генерировать исключение и не позволять дальнейшему выполнению запроса, а не фильтровать или очищать его?
Зависит от того, какие данные вы ожидаете, но в любом случае это хорошо отслеживать в каком-то журнале, что кто-то пытался XSS-атаки или любой другой.
Еще одна хорошая практика заключается в реализации оповещение запускается, когда кто-то пытается XSS-атаку. Если у вас много трафика, вы можете ежедневно генерировать отчет со всей информацией об атаках, обнаруженных в течение дня.
После того, как вы отследите эту информацию, если вы выбросите, и исключение или очистка данных зависит от вас, вам могут помочь следующие несколько вопросов:
Других решений пока нет …