Я создаю веб-страницу, где пользователь может взаимодействовать и выполнять основные операции с файловой системой (создавать файл/dir, удалять файл/dir, перемещаться по файловой системе) на удаленном компьютере. Веб-страница - это базовый HTML (кодировка UTF-8) и Javascript. Мне нужно сделать эту веб-страницу XSS доказательством.Предотвращение атак XSS
Может ли избежать всех не-буквенно-цифровых символов в пользовательском вводе (для защиты от XSS на основе DOM) и информации о имени файла (для защиты от хранимого XSS) с использованием Javascript (это выводит процентные шестнадцатеричные значения)?
Я по существу белый список только буквенно-цифровой ввод. Кроме того, поскольку я использую процентные кодированные шестнадцатеричные значения, я предполагаю, что уязвимость кодирования UTF не должна присутствовать.
Может ли кто-нибудь подумать о любой лазейке безопасности в этом механизме?
Пользователь может просто отключить JavaScript. –