有关HTML属性encode问题-CSDN论坛

⋅asp.net mvc获取http body中的json ⋅jquery事件执行顺序问题？ ⋅有关HTML属性encode问题 更多帖子 关注私信空间博客 jiezi316 本版专家分：38 结帖率 93.94%: 各位好，由于项目中有一处XSS漏洞，场景如下：
有个a标签的href会使用一个url的参数。
我尝试使用esapi的htmlAttributeEncode方法，但感觉没有什么用呢？
ESAPI.encoder().encodeForHTMLAttribute()的encode结果
源字符串
javascript:alert(1)
encode后
javascript:alert(1)

编码是都编码了，但这编码后的字符串，放入href属性中，一样可以被浏览器识别为javascript:alert(1)而执行js脚本。

是否是我用错了呢？
但几乎很多XSS的规避方案（包括一些安全扫描工具提供的解决方案），对于属性中的字符串，都建议采用这个开源的安全组件来encode。

谢谢各位大哥了

0 2015-07-01 11:33:23

回复数 2 只看楼主引用举报楼主

⋅求一个linq Row_number的写法 ⋅asp.net自定义400错误显示 ⋅已经使用Tls12还是报错The request was aborted: Could not create SSL/TLS secure channel 更多帖子 关注私信空间博客 支付宝加好友偷能量挖 本版专家分：395955 版主 探花 2017年总版技术专家分年内排行榜第三 进士 2018年总版新获得的技术专家分排名前十 2013年总版技术专家分年内排行榜第五 金牌 2018年5月总版技术专家分月排行榜第一 2018年4月总版技术专家分月排行榜第一 2018年2月总版技术专家分月排行榜第一 2017年8月总版技术专家分月排行榜第一 银牌 2018年3月总版技术专家分月排行榜第二 2017年11月总版技术专家分月排行榜第二 2016年2月总版技术专家分月排行榜第二 2014年2月总版技术专家分月排行榜第二 2013年4月总版技术专家分月排行榜第二: 用正则去掉所有脚本，编码没用，除非你将所有html字符的<>都编码为实体 <&gt就没有问题了

0 2015-07-01 21:57:27

只看TA 引用举报 #1 得分 0

⋅纯js 连连看实现原理及问题 ⋅纯js 消灭星星游戏实现原理及问题 ⋅纯js2048游戏，2018游戏实现原理，有道具的2048游戏 更多帖子 关注私信空间博客 hch126163 本版专家分：43132 黄花 2010年12月 Web 开发大版内专家分月排行榜第二 2010年11月 Web 开发大版内专家分月排行榜第二: 用户提交的代码过滤 js 代码

0 2015-07-02 11:28:55

只看TA 引用举报 #2 得分 0