Ho sviluppato un'applicazione Webobjects e ho scoperto che la mia applicazione è vulnerabile a XSS tramite URL, ma non quando input malevoli come <script>alert("hi")</script>
viene inserito nei campi modulo.
Quindi, al momento ho utilizzato la tecnica di riscrittura degli URL nel server web Apache per risolvere questo problema.
Ho gestito le seguenti parole chiave javascript:
src
onload
onmouseover
onkeypress
onfocus
alert
Non ne so abbastanza su XSS.
Voglio sapere da esperti qui, questo è l'approccio giusto per risolvere XSS quando l'input per i campi modulo non mostra vulnerabilità?
Si prega di suggerire.