XSS 和友好的 URL

Posted

技术标签:

【中文标题】XSS 和友好的 URL【英文标题】:XSS and Friendly Urls 【发布时间】:2020-12-05 12:14:14 【问题描述】:

根据您自己的经验,友好的网址是否安全?

XSS 总是通过带参数的 url 工作,但是由于友好的 url 没有参数,xss 有什么方法可以使用友好的 url 以及我们如何避免它?

只是想听听你的cmets。

提前致谢!

【问题讨论】:

【参考方案1】:

URL 格式和安全漏洞这两个概念是完全独立的。

您可以使用两种 URL 格式编写存在安全漏洞的代码。

这两种 URL 格式都不会隐含地使代码安全。

这适用于 XSS 漏洞和 SQL 注入漏洞。这是两种不同类型的安全漏洞,但它们都是由您的代码引起的,而不是由一种 URL 格式或另一种引起的。

XSS not 只能通过带有请求参数的 URL 起作用。 XSS 缺陷发生在您显示数据时未对其进行 html 编码,因此如果数据包含看起来像 HTML 标记的内容(包括 javascript <script> 标签),那么攻击者可以操纵 HTML 呈现。

【讨论】:

以上是关于XSS 和友好的 URL的主要内容,如果未能解决你的问题,请参考以下文章

如何在 jsf 中创建用户友好和 seo 友好的 url?

CodeIgniter 和友好的 url

AJAX 和 SEO 友好的 URL

Liferay 相同的操作和渲染方法的友好 url

多个和长查询的友好 URL

如何使用 .htaccess 和 php 制作用户友好的 url