有关HTML属性encode问题

jiezi316 2015-07-01 11:33:23
各位好,由于项目中有一处XSS漏洞,场景如下:
有个a标签的href会使用一个url的参数。
我尝试使用esapi的htmlAttributeEncode方法,但感觉没有什么用呢?
ESAPI.encoder().encodeForHTMLAttribute()的encode结果
源字符串
javascript:alert(1)
encode后
javascript:alert(1)

编码是都编码了,但这编码后的字符串,放入href属性中,一样可以被浏览器识别为javascript:alert(1)而执行js脚本。

是否是我用错了呢?
但几乎很多XSS的规避方案(包括一些安全扫描工具提供的解决方案),对于属性中的字符串,都建议采用这个开源的安全组件来encode。

谢谢各位大哥了
...全文
257 2 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
hch126163 2015-07-02
  • 打赏
  • 举报
回复
用户提交的代码 过滤 js 代码
  • 打赏
  • 举报
回复
用正则去掉所有脚本,编码没用,除非你将所有html字符的<>都编码为实体 <>就没有问题了

87,997

社区成员

发帖
与我相关
我的任务
社区描述
Web 开发 JavaScript
社区管理员
  • JavaScript
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧