我正在尝试为我正在处理的项目选择几个不同的
HTML解析器,其中一部分接受来自客户端的HTML输入.
我为每个人构建了一个简单的自动化测试,看看它们是否符合我的需求.我有大量的真实HTML片段需要测试,但它们还不足以测试安全性,因为它们(可能)不包含任何恶意代码.
我不介意手工审查产出.
我的问题是,是否有一个免费提供的数据库或HTML片段列表,其中包含用于测试XSS的格式错误的HTML和脚本?
最佳答案
ha.ckers XSS cheatsheet是非常全面的,并且是我建立基于
sanitiser到jsoup的白名单的催化剂.