#討論 後端對XSS攻擊的sanitization

2021年10月21日 15:29
各位好~~ 最近工作上遇到一件有趣的事想向大家請教,是關於防止 XSS 攻擊的技巧。 我在測試某個網站的圖片上傳功能,大部份的圖檔都是被允許的,上傳後的圖檔會被放到 s3 bucket。其中我在圖檔中夾雜了 XSS payload,檔案也被成功上傳,並可正常瀏覽,但 XSS payload 沒被觸發,後來我把該檔案從 s3 bucket 載至 local 檢查,發現夾雜的 payload 被移除了,但檔案卻無損還能正常讀取,請問後端處理是怎麼辦到的? 以往經驗都是未上傳就被 validation 攔截,這次是圖片的 output sanitized @@
imgur
### 更 ### 前端是 React, Hogan 後端是 Node, Backbone
愛心
7
留言 10
文章資訊