Я прошел через десятку уязвимостей OWASP и обнаружил, что мы должны делать заметки с помощью межсайтовых сценариев. Было несколько способов, рекомендуемых решений. Кто-то заявил, что не использовать «черный список» проверка для обнаружения XSS на входе или для кодирования на выходе. Поиск и замена всего нескольких символов (< а также> и другие подобные символы или фразы, такие какscript) слаб и был успешно атакован. Даже непроверенный“<b>” тег небезопасен в некоторых контекстах. XSS имеет удивительное количество вариантов, которые позволяют легко обойти проверку черного списка. В другом решении сказано, что сильная выходная кодировка. Перед рендерингом убедитесь, что все предоставленные пользователем данные соответствующим образом закодированы (либо HTML, либо XML в зависимости от механизма вывода). Итак, каков наилучший способ предотвратить межсайтовый скриптинг для проверки и замены ввода или кодирования вывода?