XSS 注入检查点

若是你有个论坛，通常你会很注意用户发帖的注入问题，每每这个地方不会被注入，由于开发特别照顾。原则上XSS都是用户输入的，可是许多边角仍是容易忽略。枚举一些检查点。

分页

分页通用组件获取url，修改page以后生成分页样式的HTML，最容易忽略XSS注入。

错误提示

即便攻击对象没法正常打开网页，XSS注入也已经完成。反馈错误提示页面若是包含用户输入的内容。好比："标题x 中包含 ** 是不容许的"。有一些SQL报错提示也会带上用户输入内容。

搜索

搜索词通常没有硬性要求去掉某些字符，和分页一块儿很容易产生注入

审核后台、其余用户提交内容的管理后台。

用户输入的内容不必定是对付其余用户的，后台的设计缺陷也可能致使xss，好比审核后台，原本是审核用户提交内容是否安全，可是极可能本身中招。

任何富文本编辑器提交的内容

富文本编辑器提交内容自己带有大量HTML代码，同时保证用户的自由编辑和安全是很是困难的。能够找一些开源过滤方案。