V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
LeeReamond
V2EX  ›  问与答

单纯限制用户名长度小于 15 字可以防止 XSS 攻击吗?

  •  
  •   LeeReamond · 2022-01-19 20:21:58 +08:00 · 1159 次点击
    这是一个创建于 1063 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,只讨论展示用户名(由用户输入)的情况。页面渲染方式为后端拼接字符串,那么限制字段长度小于 15 字可以杜绝 XSS 攻击吗?大家畅所欲言,我是觉得可以。

    3 条回复    2022-01-20 10:50:56 +08:00
    xiaopc
        1
    xiaopc  
       2022-01-19 21:15:16 +08:00
    2014 年最短的 XSS ,18 字符
    twitter [.]com/xsspayloads/status/785404272796139520
    如果有新的可利用 HTML 标签应该还可以再短
    不过现在防范 XSS 不是应该通过配置 Content-Security-Policy 头吗
    mercury233
        2
    mercury233  
       2022-01-19 21:23:52 +08:00   ❤️ 1
    小心用户把几个用户名拼起来
    EridanusSora
        3
    EridanusSora  
       2022-01-20 10:50:56 +08:00
    可能 15 字符不够偷信息或者执行恶意脚本,但是毁了你的页面绰绰有余呀。用户只需要叫<!--就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5378 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 08:02 · PVG 16:02 · LAX 00:02 · JFK 03:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.