10
我想在html上下文中转义为XSS,到目前为止我对待<,>和“字符。” 显然,建议您也跳过&符号,但为什么?(除了保持html有效,让我们假设这不是问题)跨站点脚本(XSS):我需要逃避&符号吗?
所以我问的是: 当我逃避<,>和“,有人可以演示&符号是否仍然可以允许在HTML上下文中的XSS攻击?
干杯!
A
回答
6
你应该真的看一看在OWASP XSS预防备忘单上。
你应该逃脱&因为它可以用来规避其他防御。考虑以下代码:
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
为了防御XSS onclick事件处理程序中,开发者逃脱”,” <和> data_from_user,认为一切都是确定的问题是,如果攻击者类型'其通过转义,但最终允许攻击者运行JavaScript
有趣的例子,欢呼声 我试了一下!是要注入这到html: <脚本类型=“文本/ javascript”> 哪些不会执行,howerver显示为“
您使用&来连接的网址参数:
反映XXS:
脚本代码在其网页反映了受害者
来源
2012-02-03 05:44:43 Adrian
下,选民应该解释他看来我这个答案同意+1 – tusar 2012-02-03 06:38:57