Tôi muốn thoát cho XSS trong ngữ cảnh html, và cho đến nay tôi đối xử với các ký tự <,> và " Dường như bạn cũng nên thoát khỏi ký hiệu", và tại sao? " , hãy giả sử rằng đây không phải là vấn đề)Cross Site Scripting (XSS): Tôi có cần phải thoát khỏi dấu và không?
Vì vậy, những gì tôi yêu cầu là: Khi tôi thoát <,> và ", ai đó có thể chứng minh cách dấu và vẫn có thể cho phép tấn công XSS trong ngữ cảnh html?
Chúc mừng!
Bạn thực sự nên xem tại Bảng chống gian lận XSS của OWASP.
Bạn nên thoát khỏi & vì nó có thể được sử dụng để phá vỡ các phòng thủ khác. Hãy xem xét mã này:.
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
Để bảo vệ chống lại XSS bên trong xử lý sự kiện onclick, nhà phát triển thoát',", < và> trong data_from_user và nghĩ rằng tất cả mọi thứ là ok Vấn đề là nếu các loại tấn công ' mà đi các thoát, nhưng cuối cùng lại cho phép kẻ tấn công chạy javascript
Ví dụ ở đây:.. http://erlend.oftedal.no/blog/?blogid=124
Thú vị dụ, cheers những gì tôi cố gắng.! đã tiêm này vào html: < loại tập lệnh = "text/javascript" > Không được thực thi, được hiển thị dưới dạng "
bạn sử dụng & để nối params trong URL:
Phản ánh XXS:
Script code được tiêm trong URL mà trang web phản ánh cho các nạn nhân
Nguồn
2012-02-03 05:44:43 Adrian
Down-cử tri nên giải thích quan điểm của ông tôi đồng ý với câu trả lời này 1 – tusar