单纯限制用户名长度小于 15 字可以防止 XSS 攻击吗?

2022-01-19 20:21:58 +08:00
 LeeReamond

如题,只讨论展示用户名(由用户输入)的情况。页面渲染方式为后端拼接字符串,那么限制字段长度小于 15 字可以杜绝 XSS 攻击吗?大家畅所欲言,我是觉得可以。

1140 次点击
所在节点    问与答
3 条回复
xiaopc
2022-01-19 21:15:16 +08:00
2014 年最短的 XSS ,18 字符
twitter [.]com/xsspayloads/status/785404272796139520
如果有新的可利用 HTML 标签应该还可以再短
不过现在防范 XSS 不是应该通过配置 Content-Security-Policy 头吗
mercury233
2022-01-19 21:23:52 +08:00
小心用户把几个用户名拼起来
EridanusSora
2022-01-20 10:50:56 +08:00
可能 15 字符不够偷信息或者执行恶意脚本,但是毁了你的页面绰绰有余呀。用户只需要叫<!--就行了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/829316

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX