有关HTML属性encode问题
各位好,由于项目中有一处XSS漏洞,场景如下:
有个a标签的href会使用一个url的参数。
我尝试使用esapi的htmlAttributeEncode方法,但感觉没有什么用呢?
ESAPI.encoder().encodeForHTMLAttribute()的encode结果
源字符串
javascript:alert(1)
encode后
javascript:alert(1)
编码是都编码了,但这编码后的字符串,放入href属性中,一样可以被浏览器识别为javascript:alert(1)而执行js脚本。
是否是我用错了呢?
但几乎很多XSS的规避方案(包括一些安全扫描工具提供的解决方案),对于属性中的字符串,都建议采用这个开源的安全组件来encode。
谢谢各位大哥了