私のウェブサイトには検索入力がありませんが、XSS(クロスサイトスクリプティング)の脆弱性が懸念される場合は、他のサイトへのハイパーリンクがあります。クロスサイトスクリプティング(XSS)の脆弱性が存在します
答えて
安全で信頼できるウェブサイトにのみリンクしてください。信頼できるウェブサイトの一例は、httpsを使用するもの、またはGoogleで上位にランクされたものです。
信頼できないWebサイトにリンクすると、信頼できないWebサイトへのリンクを訪問者がクリックすると、マルウェアやユーザーの資格情報を盗む悪意のあるWebサイトに移動する可能性があります。
XSSは、検索入力フィールド=だけでなく、 Webアプリケーションが出力し、フィルタリングを実行しない入力はXSSにつながります。旧式のJSライブラリ(旧バージョンのjQueryなど)を使用している場合は、脆弱なコードが含まれてXSSにつながる可能性があります。
私は同意します。データベースからフェッチされ、ユーザーに表示されるデータには、悪質なコードが含まれる可能性があります。例えば、ハッカーは、SQLインジェクション –
@ Nadirを使って悪意のあるコードをデータベースに挿入することができます。URLの一部として、またはWebブラウザのクッキーを使用してHTTP POST要求を行うことは可能ですか? (私のウェブサイトで) – Ajith
@ajithkumarはい、HTTP Post変数またはHTTP Get変数を使って悪意のあるコードをWebサイトに挿入することは可能です。アプリケーションを処理する前に、アプリケーションのすべての入力をサニタイズする必要があります。 –
私のすべてのハイパーリンクはtrusworthyですので、XSSの問題はないでしょうか? – Ajith
ハイパーリンクがデータベースに格納されている場合は、ハッカーがSQLインジェクションを使用してハイパーリンクを変更することは可能です。したがって、データベースからフェッチされたすべてのデータをフィルタリングする必要があります。 –
XSSが修正されたデータベースがありません。 – Ajith