Q

XSS預防playframework1.2.4

2012-03-29 104 views 1 likes

1

按照該documentation on XSS，我包括在application.confXSS預防playframework1.2.4

future.escapeInTemplates =真

在我的webapp下面的線，用戶可以添加註釋一個文本字段page.A從用戶接受文本輸入並保存到db.I進入下面的行爲註釋

<script> alert('hi') </script>

這會保存在數據庫中，並在瀏覽器中顯示相同內容。不會彈出警報彈出窗口。是否意味着XSS問題沒有發生？即使沒有在application.conf中添加escapeInTemplates = true，該程序也會提供相同的行爲。

有一些警告elsewhere關於將unsanitized html保存到數據庫。所以，我應該使用類似Jsoup的東西來清理用戶輸入之前，將其保存到數據庫？

2012-03-29 damon

A

回答

1

escapeInTemplate不會阻止保存html，它會在模板中呈現時將其轉義。來自Play Framework 1.2.4 docs：

Play的模板引擎會自動轉義字符串。如果您真的要在您的模板中插入未轉義的HTML，您可以在字符串上使用 raw（）Java擴展。但是，如果字符串來自用戶輸入，則需要確保首先對其進行消毒。

因此，當顯示在模板中的HTML中，<SCRIPT>標記都逃到

&lt;SCRIPT&gt;

2012-03-29 12:57:50 mguymon

相關問題

1. Javascript XSS預防
2. XSS預防PHP
3. Magento Xss預防
4. Struts XSS預防 - 防止GET XSS
5. xss預防與ckeditor
6. Ruby on Rails和XSS預防
7. PHP XSS預防白名單
8. 開源的XSS預防腳本
9. ESAPI for XSS預防不起作用
10. Apache Commons StringEscapeUtils vs JSoup XSS預防？

11. 爲何XSS預防不足ValidateRequest =「true」？
12. 使用.htaccess預防XSS攻擊
13. 以正確的方式預防XSS
14. outputStream寫一個byteArray - XSS預防
15. XSS預防的URI協議白名單？
16. XSS預防，整潔vs淨化器？
17. 預防XSS攻擊的新方法
18. GWT干擾XSS預防措施
19. PHP防止xss
20. 防止DOM XSS
21. XSS攻擊防護
22. 防止XSS攻擊
23. 防止XSS漏洞
24. 用strip_tags（）防止XSS？
25. 防止XSS攻擊
26. 用PHP防止XSS
27. jquery ajax防止xss
28. XSS攻擊防範
29. 瀏覽器的X-XSS-Protection/XSS Auditor是否足以防止XSS？
30. XSS預防：客戶端還是服務器端？