代码之家  ›  专栏  ›  技术社区  ›  Dustin Getz sunsations

转义:“var name='</script>'”

xss escaping javascript
  •  0
  • Dustin Getz sunsations  · 技术社区  · 14 年前

    我们的中间层需要采取措施防止 </script> 从javascript字符串中逐字显示。例如,在所有浏览器中,HTML解析器在第一次传递时将忽略javascript上下文,查看第一个关闭脚本,然后查看垃圾,然后查看第二个关闭脚本。见: using-script-in-a-javascript-literal 

    <HTML>
<BODY>
  start
  <SCRIPT>
    alert( "</SCRIPT>" );
  </SCRIPT>
  finish
</BODY>
</HTML>

    我的第一个想法是将javascript字符串转义的字符扩展为包括“>”和“<”--这在我测试的浏览器中似乎可以工作,但看起来不符合标准: escapesequence.shtml

    编辑:此规则专门用于呈现为javascript字符串文本的内容。

    1 回复  |  直到 14 年前
        1
  •  5
  •   Gumbo    14 年前

    你需要删除文字 </ 

    "<" + "/"
"<\/"
"<\x2F"
"\x3C/"
"<\u002F"
"\u003C/"

    description of the CDATA type :

    STYLE SCRIPT 元素使用CDATA作为其数据模型,对于这些元素,用户代理必须以不同的方式处理CDATA。标记和实体必须视为原始文本并按原样传递给应用程序。字符序列的第一次出现“ < “(end tag open delimiter)被视为终止元素内容的结尾。在有效文档中,这将是元素的结束标记。

    推荐文章
    Kevin Cheng  ·  在CKEditor 4的源代码模式下,如何禁用预览按钮?
    7 年前
    EZDM  ·  避免在上使用XSS。使用JQUERY获取JSON
    7 年前
    Agent Smith  ·  如何使用ZF2防止XSS?
    7 年前
    rmeertens  ·  XSS攻击:更改Spring Boot Crudepository中引发的异常?
    7 年前
    Nikolai  ·  php中的XSS黑名单
    8 年前
    Lamcee  ·  如何在img标签的onerror属性上发送http请求?
    8 年前
    pinkpanther  ·  仅仅对XSS进行编码(而不是转义)是错误的吗?
    8 年前
    5argon  ·  谷歌翻译网站如何在不受跨站点脚本约束的情况下修改网页?
    9 年前
    vivek  ·  我们所说的上下文自动转义是什么意思?
    9 年前
    user2143356  ·  这是否易受XSS攻击?
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号