我想在 HTML 上下文中为 XSS 转义,到目前为止,我处理了<、>和"字符。显然也建议转义 & 符号,但为什么呢?(除了保持 HTML 有效,我们假设这不是问题)
所以我要问的是:当我逃跑<时,>有人"可以演示与号如何仍然允许在 HTML 上下文中进行 XSS 攻击吗?
干杯!
问问题
4638 次
2 回答
9
你真的应该看看 OWASP XSS 预防备忘单。
你应该逃避 & 因为它可以用来绕过其他防御。考虑这段代码:
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
为了防御 onclick 事件处理程序中的 XSS,开发人员在 data_from_user 中转义了 '、"、< 和 > 并认为一切正常。问题是,如果攻击者键入'通过转义但最终允许攻击者运行 javascript .
于 2012-02-04T08:46:15.793 回答
2
您使用 & 连接 URL 中的参数:
Reflected XXS :
脚本代码被注入到网页向受害者反映的 URL 中
http://mybank.com/page?message= < script src = “evil _script.js” />
于 2012-02-03T05:44:43.597 回答