html逃避,以及我如何拥有

概述我计划接受用户输入,并将其插入div中 <div>user_content</div> 一个用户将提供内容,另一个用户将接收内容. 我认为我将遵循的建议是从https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inser 我计划接受用户输入,并将其插入div中

<div>user_content</div>

一个用户将提供内容,另一个用户将接收内容.

我认为我将遵循的建议是从https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content开始

但我很好奇…据我所知,如果我不允许<和>,这应该防止任何插入脚本或任何有趣的,真的

因此,问题是：我有多难？如果<恶意用户可以破坏我的页面/插入脚本的方式是什么？和>逃脱了吗？ (并且假定文本将插入div中)

假设完全普遍性：恶意用户可能会使用编码等做奇怪的事情.但该页面将其编码指定为UTF-8

请注意,问题是关于在特定上下文中转义：用户文本进入div.不在属性中,不在脚本中,不在CSS中.在这个特定的地方,这种天真的逃避,输入文本会出现什么问题？

解决方法 如果您在显示时对用户输入进行HTML编码,则应该是安全的.在这种情况下,恶意代码(例如脚本标记)将按原样显示. 总结

以上是内存溢出为你收集整理的html逃避,以及我如何拥有全部内容，希望文章能够帮你解决html逃避,以及我如何拥有所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。