10
我想在html上下文中轉義爲XSS,到目前爲止我對待<,>和「字符。」 顯然,建議您也跳過&符號,但爲什麼?(除了保持html有效,讓我們假設這不是問題)跨站點腳本(XSS):我需要逃避&符號嗎?
所以我問的是: 當我逃避<,>和「,有人可以演示&符號是否仍然可以允許在HTML上下文中的XSS攻擊?
乾杯!
A
回答
6
你應該真的看一看在OWASP XSS預防備忘單上。
你應該逃脫&因爲它可以用來規避其他防禦。考慮以下代碼:
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
爲了防禦XSS onclick事件處理程序中,開發者逃脫」,」 <和> data_from_user,認爲一切都是確定的問題是,如果攻擊者類型'其通過轉義,但最終允許攻擊者運行JavaScript
有趣的例子,歡呼聲 我試了一下!是要注入這到html: <腳本類型=「文本/ javascript」> 哪些不會執行,howerver顯示爲「
您使用&來連接的網址參數:
反映XXS:
腳本代碼在其網頁反映了受害者
來源
2012-02-03 05:44:43 Adrian
下,選民應該解釋他看來我這個答案同意+1 – tusar 2012-02-03 06:38:57