15

我有一些用户输入。在我的代码中,我确保以下符号被转义:

& -> & 
< -> &lt; 
> -> &gt;

OWASP声明有更多的字符需要转义。

对于属性,我做了另一种转义:

& -> &amp; 
" -> &quot;

这确保了所有属性都包含在“。这让我确定我的 html 属性,但不是关于 HTML 本身。

我想知道我的逃跑是否足够。我读过这篇文章,但我仍然不确定我的担忧。

(JavaScript 使用 OWASP 库进行转义)

4

2 回答 2

34

我也使用 OWASP ( ESAPI ) 库,为不同类型的显示转义字符串,使用:

String html = ESAPI.encoder().encodeForHTML("hello < how > are 'you'");
String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello < how > are 'you'");
String js = ESAPI.encoder().encodeForJavaScript("hello < how > are 'you'");

HTML(假设 jsp)

<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>

更新( 2017 )

由于 ESAPI 编码器被认为是遗留的,因此已经创建了一个更好的替代方案并且正在积极维护中,我强烈建议使用OWASP Java 编码器

如果您的项目已经使用ESAPI,则添加了一个集成,允许您使用此库进行编码。

用法在他们的wiki 页面上进行了解释,但为了完整起见,这是您可以使用它对数据进行上下文编码的方式:

// HTML Context
String html = Encoder.forHtml("u<ntrus>te'd'");

// HTML Attribute Context
String htmlAttr = Encoder.forHtmlAttribute("u<ntrus>te'd'");

// Javascript Attribute Context
String jsAttr = Encoder.forJavaScriptAttribute("u<ntrus>te'd'");

HTML(假设 jsp)

<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')">
    <%= html %>
</div>

PS:存在更多上下文并由库支持

于 2012-01-18T12:41:18.493 回答
3

我建议您使用 Appache Common Lang 库来转义字符串,例如转义 HTML: 

String escapedString = org.apache.commons.lang.StringEscapeUtils.escapeHtml(String str);

该库有许多有用的方法可以在 HTML、XML、Javascript 中进行转义。

于 2012-01-18T12:16:18.030 回答