Stavo attraversando alcune difese laterali CLIENT contro XSS riflesso, ad es. Auditor XSS (chrome), IE8 XSS Filters, Noscript. Usano l'espressione regolare e altre tecniche sofisticate.
La mia domanda è: perché non memorizziamo ciò che mai andrà al server come parametri e se questi parametri si riflettono nella risposta HTML, allora scartala o codificala. Semplice idea Sento che potrebbero esserci falsi positivi ma non molto convincenti. Qualche input?
questo approccio è già presente in vari framework e funziona (più o meno) contro modelli di attacco di base.
un altro modo più elegante è usare CSP , ma hai alcuni requisiti quando usi questo approccio (non in linea js / styles etc)
il problema è, da defender-pov, un utente malintenzionato potrebbe avere altri punti), roba brutta come codifica, nullbyte e diversi modi per mitigare la protezione. se fosse solo ASCII, il mondo sarebbe (un po 'più) perfetto:)
Leggi altre domande sui tag web-browser xss browser-extensions