在XSLT生成的内容中防止XSS(和其他攻击)
我有一个XSLT样式表来处理XML文档以生成HTML。
我已经意识到可以以这样的方式操纵网站,即用户可以提供他们喜欢的任何XML - 遗憾的是这是不可避免的,所以我想通过确保我的XSLT来保护自己免受XSS(和其他攻击)的影响stylesheet能够安全地处理任何文档。
为实现这一目标,我需要注意什么?
更新:
我知道默认情况下XSLT转义输出(可以使用
disable-output-escaping
属性禁用) - 这是否足以阻止某人注入恶意HTML元素和属性?
没有找到相关结果
已邀请:
1 个回复
犀寺扦
这很好:
如果确实需要将数据传递给查询,请使用绑定变量。