我想在html上下文中为XSS而逃脱,到目前为止,我还是处理了<>>和“字符.
显然,建议您同时脱离&符,但为什么? (除了保持html有效,我们假设这不是一个问题)
显然,建议您同时脱离&符,但为什么? (除了保持html有效,我们假设这不是一个问题)
所以我问的是:
当我逃跑时,<>和“,有人可以演示和符还能允许在html上下文中的XSS攻击吗?
干杯!
解决方法
你应该看看OWASP XSS防范作弊表.
你应该逃避因为它可以用来规避其他防御.考虑这个代码:
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
为了防范onclick事件处理程序中的XSS,开发人员在data_from_user中转义“,”和>,并认为一切正常,问题是如果攻击者输入&39;它通过转义但结束允许攻击者运行javascript.
