如何解决这个来自Stackoverflow的Xss?<script type =“text/javascript”> alert('Xss done');</script>
2
A
回答
3
输出是html编码的。
所有html实体都被它们的转义字符替换,例如“<”被替换为<
。
上的HTML字符的列表以及维基百科更多信息,http://en.wikipedia.org/wiki/Character_encodings_in_HTML
+0
http://www.htmlescape.net/htmlescape_tool.html这里有一个工具,说明了这一点。 – charisis 2010-11-19 21:48:40
0
杰夫居然张贴在RefactorMyCode.com
他的消毒剂你可以看到它here。它可能不是他们目前使用的最终版本,但它会告诉你它是如何工作的基础知识。
+0
消毒剂从输入中去除未列入白名单的标签。对于这个问题标题,情况并非如此,该标题已经被HTML编码以保留原始输出。 – 2012-12-06 03:05:19
相关问题
- 1. XSS与<script>随后<br/>
- 2. 什么是<script type =“text/javascript”><!--mce:0--></script>?
- 3. <script></script> or <script />?
- 4. <script/> vs <script></script>与webpack和角
- 5. <script>或<noscript>?
- 6. <script><!--//--></script>有一个现代的目的?
- 7. 可以xmlhttp.responseText包含<script type =“text/javascript src =”...“></script>并加载?
- 8. 哪个更好:<脚本类型= “文/ JavaScript的”> ...</script>或<script> ...</script>
- 9. <Script>使用
- 10. 结束<script>
- 11. <script runat =“server”> vs <% %>
- 12. 在<script>块
- 13. 我该如何防止JavaScript在这种情况下使用PHP(http://my_host_here.com/publications.php/“><script> alert(1)</script>)?
- 14. PHP在HTML <Script>
- 15. XPATH获取所有标签<script>和</script>标签
- 16. 元素宽度正好<code></body></code></p> <pre><code><script type="text/javascript" charset="utf-8"> $(document).ready(function(){ var diff = $('div.canvas img.photo').get(1).width; console.log(diff); }); </script> </code></pre> <p>之前对文件准备
- 17. 更改<href>至<script> javascript?
- 18. <script><asp:repeater>中的标记
- 19. 差异</script>
- 20. <script></script>标签里面的JavaScript代码?
- 21. <button>与<INPUT TYPE =“图像”>
- 22. <script src =“X”></script> inside return render | React
- 23. 如何我添加代码到<script></script>
- 24. 如何检索的<SCRIPT SRC =“myscript.ms”内容></script>
- 25. 等效的JavaScript命令<script src =“something1.json”></script>?
- 26. xforms-inspector与<script>冲突</script> in * .xsl
- 27. 删除<script></script>从C#返回的HTML块#
- 28. 意外标记错误(<SCRIPT SRC =“../../ JS/jquery.min.js”></script>)
- 29. 转义:“var name ='</script>'”
- 30. 复数<script>标签?
我没有做任何事...看看http://stackoverflow.com/questions/2425328/what-is-the-waybest-practice-to-deal-with-xss – 2010-11-19 21:45:21
我没有。杰夫阿特伍德和乔尔斯波尔斯基做到了。 – darioo 2010-11-19 21:45:47
即时通讯只是试图探讨如何解决这个问题,但我收到答案比我发现的逻辑早。我假设他们使用escape()javascript函数来避免出现危险表单文本的Asp.net异常,然后使用UrlDecode和HtmlEncode以安全方式呈现文本。 无论如何感谢你比人们用来说 – cyberdantes 2010-11-19 21:53:29