Estoy desarrollando una aplicación web donde los usuarios pueden responder a entradas de blog. Este es un problema de seguridad porque pueden enviar datos peligrosos que se procesarán a otros usuarios (y se ejecutarán mediante javascript).Prevención de ataque XSS
No pueden formatear el texto que envían. No "negrita", sin colores, sin nada. Solo texto simple. me ocurrió con esta expresión regular para resolver mi problema: ". " "?"
[^\\w\\s.?!()]
Así que cualquier cosa que no sea un carácter de palabra (az, AZ, 0-9), no es un espacio en blanco,,," ! "," ("o") "se reemplazará por una cadena vacía. De lo que se sustituirá cada marca de quatation con: "& quot".
Compruebo los datos en la interfaz y los compruebo en mi servidor.
¿Hay alguna manera en que alguien pueda eludir esta "solución"?
Me pregunto cómo hace StackOverflow esto? Aquí hay mucho formato, por lo que deben hacer un buen trabajo con él.
¿Cuál es el idioma del lado del servidor? –
Java. Yo uso Servlets – Colby77
No dijiste nada acerca de '<>', que es probablemente el personaje más importante usado en xss ... – rook