tôi tìm thấy nó bên trong ứng dụng "bản giao hưởng CMS", nó rất nhỏ:Chức năng này có đủ để phát hiện xss không?
https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php#L100
Và tôi đã nghĩ đến việc ăn cắp nó và sử dụng nó trong ứng dụng của riêng tôi để khử trùng chuỗi với HTML để hiển thị. Bạn có nghĩ rằng nó hoạt động tốt không?
ps: Tôi biết có Trình lọc HTML, nhưng điều đó rất lớn. Và tôi thà thích cái gì đó ít được chấp nhận hơn, nhưng tôi vẫn muốn nó có hiệu quả.
Tôi đã thử nghiệm nó chống lại các chuỗi từ trang này: http://ha.ckers.org/xss.html. Nhưng nếu không chống lại "XSS định vị 2". Không chắc chắn làm thế nào để bất cứ ai sử dụng chuỗi đó để hack một trang web mặc dù :)
Nó nói: “[…] sẽ xác định nếu nó * có khả năng * [là] một cuộc tấn công XSS”. – Gumbo