Q

把手三重藏匿，以避免逃離html實體

2015-01-13 20 views 3 likes

3

我使用把手，並且如果處理轉義字符（如'），它將在屏幕上呈現爲'。把手三重藏匿，以避免逃離html實體

我知道在三重隱藏包裝變量會防止這種情況。

我在一個三重存儲器中處理了以下字符串作爲一個快速測試，它似乎很好「<p>hello<p> would not wouldn '噸」這使得我正好想要它的屏幕。

我的問題是，簡單地將所有變量包裝在三重隱藏中是否安全？或者這會有一些我沒有考慮到的無法預料的後果？

感謝

2015-01-13 DavidB

+0

只有當您有預先轉義的變量時纔是安全的。否則包含某種用戶定義數據的變量可能會導致XSS漏洞。 – raidendev

+0

非常感謝 - 許多這方面的工作都是關於Xss攻擊的，所以我很高興接受如果你想讓它變得無聊 – DavidB

A

回答

12

默認情況下，所有雙藏匿{{var}}嵌入在把手將HTML轉義。這是出於安全原因執行的，以避免DOM XSS漏洞。因爲您的變量可能包含任何數據，包括用戶數據或任何類型的不可信數據。

在某些情況下，您將需要按原樣嵌入數據，而不會轉義。有使用tripple-stash {{{var}}}的地方。但是每次執行此操作時，都需要考慮什麼可能位於您的數據中，您可以信任它嗎？

在Handlebars網站上閱讀關於HTML Escaping的更多信息。

2015-01-14 09:40:23 raidendev

相關問題

11. 如何避免手動實施INotifyPropertyChanged
12. 逃離jekyll液體標籤
13. 的Node.js/JavaScript的 - 避免用戶進入腳本和HTML實體
14. 避免HTML實體在http_build_query轉換在PHP
15. 避免在Bash這裏逃脫文檔
16. 刪除實體時避免StaleObjectStateException
17. 避免原則返回所有實體
18. 如何避免讓實體框架
19. 實體框架 - 避免再次查詢
20. 如何避免實體框架
21. 隱藏JFreeChart中的一些類別標籤以避免重疊
22. 避免在Scala.js重複包名從HTML
23. 如何避免重複的html代碼？
24. 避免染色體重複基因（JGAP）
25. 避免窗體重新提交
26. 避免重複
27. 避免重複
28. 避免重名
29. 避免剝離標記
30. 實體框架6避免重複加載