关于信息安全系统检测的问题

2021-02-24 17:31:00 +08:00
 waiaan

一个后台管理系统,进行信息安全检测的时候说前端可以进行 xss 注入,要求进行整改。 但是这个需求就是要求用户(客户,基本都是兄弟单位的内部人员)可以输入 html 或者脚本,实现自定义的功能。 请问这个要怎么处理? 谢谢。

977 次点击
所在节点    问与答
8 条回复
fucker
2021-02-24 17:54:22 +08:00
XSS 实现的方式多种多样,不同的情况危险等级不同,解决方式也不同。
1. 让安全测试给你提供解决方案
2. 把前端代码贴出来给大伙看看,大伙给你出主意
3. 给我钱,我帮你搞
waiaan
2021-02-24 17:58:05 +08:00
@fucker
我们的需求就是要求能执行自定义的代码,现在是安全检测与我们的需求冲突。
mnssbe
2021-02-24 18:03:17 +08:00
html tag 白名单, 用户输入的内容只能自己访问
wevsty
2021-02-24 18:09:13 +08:00
上一个 HTTP 验证就好了。
Qetesh
2021-02-24 18:49:49 +08:00
输入加过滤
MrMario
2021-02-24 18:52:21 +08:00
js 有个 xss 模块,可以白名单形式仅允许特定标签和属性
waiaan
2021-02-25 09:16:03 +08:00
@mnssbe
@wevsty
是什么意思?

@Qetesh
@MrMario
就是不能过滤,要允许执行用户提交的代码。
daxin945
2021-02-25 15:27:17 +08:00
输入加过滤 +1 可以过滤一些关键字 比如 alert script details 这种通常业务场景中不太常用的标签 但是在 xss 中会被用到的 简单粗暴。 当然 过滤可以在后端做

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/755909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX