Tôi đang tạo trang web nơi người dùng có thể tương tác và thực hiện các hoạt động hệ thống tệp cơ bản (tạo tệp/dir, xóa tệp/dir, điều hướng hệ thống tệp) trên máy tính từ xa. Trang web là HTML cơ bản (mã hóa UTF-8) và Javascript. Tôi cần phải thực hiện bằng chứng XSS của trang web này.Ngăn chặn các cuộc tấn công XSS
Có thể thoát tất cả các ký tự không phải chữ và số trong đầu vào của người dùng (để bảo vệ chống lại XSS dựa trên DOM) và thông tin tên tệp (để bảo vệ chống lại XSS được lưu trữ) bằng cách sử dụng Javascript (giá trị hex được mã hóa theo phần trăm này) không?
Tôi chủ yếu là danh sách trắng chỉ có mục nhập chữ và số. Ngoài ra, vì tôi đang sử dụng các giá trị hex được mã hóa phần trăm, tôi giả định rằng lỗ hổng mã hóa UTF không nên có mặt.
Có ai có thể nghĩ ra bất kỳ lỗ hổng bảo mật nào trong cơ chế này không?
Người dùng chỉ có thể tắt JavaScript. –