Должен ли я фильтровать или дезинфицировать потенциальные входные значения XSS, или просто выбросить исключение

Я видел много статей и вопросов по SO, касающихся фильтрации и очистки входных значений веб-форм для потенциальных проблем XSS.

Мой вопрос … Если мы обнаружим в данных проблемы XSS, то не должны ли мы генерировать исключение и не позволять дальнейшему выполнению запроса, а не фильтровать или очищать его?

0

Решение

Зависит от того, какие данные вы ожидаете, но в любом случае это хорошо отслеживать в каком-то журнале, что кто-то пытался XSS-атаки или любой другой.

Еще одна хорошая практика заключается в реализации оповещение запускается, когда кто-то пытается XSS-атаку. Если у вас много трафика, вы можете ежедневно генерировать отчет со всей информацией об атаках, обнаруженных в течение дня.

После того, как вы отследите эту информацию, если вы выбросите, и исключение или очистка данных зависит от вас, вам могут помочь следующие несколько вопросов:

  • Для вас важна информация, которую пользователь пытается представить?
  • Вы заинтересованы в том, чтобы сообщить, что вы заблокировали его XSS-атаку?
  • Вы заинтересованы в том, чтобы он был на веб-сайте после обнаружения его в качестве потенциального злоумышленника?
0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]