1

我的安全性不是很好......所以只是想知道如果我使用的是灯箱 2.6.1 并且我有

编辑:示例显示静态,但实际上这个 google.com 链接来自一个 mySQL 数据库,我已经填充了与图像一起使用的链接(即,当用户上传他们的图像时,他们在图像链接源中键入)所以谷歌。 com 被替换为那个。

<a href="uploads/image.jpg" data-lightbox="example-set" title="&lt;a target='_self' href='http://www.google.com'&gt;Google&lt;/a&gt;">
<img src="uploads/image.jpg" alt="" />
        </a>

是否可以执行 XSS 或任何形式的危险 javascript?我问是因为我对这部分犹豫不决。

title="&lt;a target='_self' href='http://www.google.com'&gt;Google&lt;/a&gt;"
4

1 回答 1

0

答案是“可能”。似乎 HTML 被嵌入在titleHREF 的 " " 属性中,因此请确保您不能脱离其中任何一个

  1. title标签。
  2. 嵌入href标签

这完全取决于您使用哪种编码在其中插入值,但要确保单独使用编码是安全的可能会很棘手,因为您还要确保无法插入javascript:URL。

在将 URL 插入数据库之前,是否可以对 URL 执行任何验证?例如,文件名仅包含字母数字字符和扩展名前的一个点。

有关防止 XSS 的更多信息,请参见此处:https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

于 2013-11-11T13:45:14.120 回答