<div>user_content</div>
一个用户将提供内容,另一个用户将接收内容.
我认为我将遵循的建议是从https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content开始
但我很好奇…据我所知,如果我不允许<和>,这应该防止任何插入脚本或任何有趣的,真的
因此,问题是:我有多难?如果<恶意用户可以破坏我的页面/插入脚本的方式是什么?和>逃脱了吗? (并且假定文本将插入div中)
假设完全普遍性:恶意用户可能会使用编码等做奇怪的事情.但该页面将其编码指定为UTF-8
请注意,问题是关于在特定上下文中转义:用户文本进入div.不在属性中,不在脚本中,不在CSS中.在这个特定的地方,这种天真的逃避,输入文本会出现什么问题?
解决方法 如果您在显示时对用户输入进行HTML编码,则应该是安全的.在这种情况下,恶意代码(例如脚本标记)将按原样显示. 总结以上是内存溢出为你收集整理的html逃避,以及我如何拥有全部内容,希望文章能够帮你解决html逃避,以及我如何拥有所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)