V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
waiaan
V2EX  ›  问与答

关于信息安全系统检测的问题

  •  
  •   waiaan · 152 天前 · 520 次点击
    这是一个创建于 152 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个后台管理系统,进行信息安全检测的时候说前端可以进行 xss 注入,要求进行整改。 但是这个需求就是要求用户(客户,基本都是兄弟单位的内部人员)可以输入 html 或者脚本,实现自定义的功能。 请问这个要怎么处理? 谢谢。

    8 条回复    2021-02-25 15:27:17 +08:00
    fucker
        1
    fucker   152 天前
    XSS 实现的方式多种多样,不同的情况危险等级不同,解决方式也不同。
    1. 让安全测试给你提供解决方案
    2. 把前端代码贴出来给大伙看看,大伙给你出主意
    3. 给我钱,我帮你搞
    waiaan
        2
    waiaan   152 天前
    @fucker
    我们的需求就是要求能执行自定义的代码,现在是安全检测与我们的需求冲突。
    mnssbe
        3
    mnssbe   152 天前
    html tag 白名单, 用户输入的内容只能自己访问
    wevsty
        4
    wevsty   152 天前
    上一个 HTTP 验证就好了。
    Qetesh
        5
    Qetesh   152 天前 via iPhone
    输入加过滤
    MrMario
        6
    MrMario   152 天前 via iPhone
    js 有个 xss 模块,可以白名单形式仅允许特定标签和属性
    waiaan
        7
    waiaan   151 天前
    @mnssbe
    @wevsty
    是什么意思?

    @Qetesh
    @MrMario
    就是不能过滤,要允许执行用户提交的代码。
    daxin945
        8
    daxin945   151 天前
    输入加过滤 +1 可以过滤一些关键字 比如 alert script details 这种通常业务场景中不太常用的标签 但是在 xss 中会被用到的 简单粗暴。 当然 过滤可以在后端做
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   988 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 19:09 · PVG 03:09 · LAX 12:09 · JFK 15:09
    ♥ Do have faith in what you're doing.