有关HTML属性encode问题

jiezi316 2015-07-01 11:33:23
各位好,由于项目中有一处XSS漏洞,场景如下:
有个a标签的href会使用一个url的参数。
我尝试使用esapi的htmlAttributeEncode方法,但感觉没有什么用呢?
ESAPI.encoder().encodeForHTMLAttribute()的encode结果
源字符串
javascript:alert(1)
encode后
javascript:alert(1)

编码是都编码了,但这编码后的字符串,放入href属性中,一样可以被浏览器识别为javascript:alert(1)而执行js脚本。

是否是我用错了呢?
但几乎很多XSS的规避方案(包括一些安全扫描工具提供的解决方案),对于属性中的字符串,都建议采用这个开源的安全组件来encode。

谢谢各位大哥了
...全文
257 2 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
hch126163 2015-07-02
  • 打赏
  • 举报
 回复
用户提交的代码 过滤 js 代码
斯洛文尼亚旅游 2015-07-01
  • 打赏
  • 举报
 回复
用正则去掉所有脚本,编码没用,除非你将所有html字符的<>都编码为实体 <>就没有问题了
.NET 二维码生成(ThoughtWorks.QRCode)源代码
如果需要进一步定制二维码的外观,可以使用`QrCodeGenerator`类,它允许我们设置背景色、前景色、边距等属性。 在实际应用中,我们可能还需要处理一些高级需求,比如添加logo、设置二维码颜色、生成多个二维码等。...
html在线encode,HttpServerUtility
对字符串进行 HTML 编码...HTML-encodes a string and returns the encoded string.public:System::String ^ HtmlEncode(System::String ^ s);public string HtmlEncode (string s);member this.HtmlEncode : string...
【C#】C#中的HtmlEncodeHtmlDecode:HttpUtility.HtmlEncode,Server.HtmlEncode,WebUtility.HtmlEncode
HtmlEncode(String)将字符串转换为 HTML 编码字符串。  HtmlDecode(String)将已经为 HTTP 传输进行过 HTML 编码的字符串转换为已解码的字符串。  在web端项目中通常使用HttpUtility.HtmlEecode,HttpUtility....
几种HtmlEncode的区别
一、C#中的编码 HttpUtility.HtmlDecode、HttpUtility.HtmlEncode与Server.HtmlDecode、Server.HtmlEncode与HttpServerUtility.HtmlDecode、HttpServerUtility.H
HtmlEncode是做什么的?
编码中文 unicode字符到 html 编码格式的。...string url = Server.HTMLEncode( "http://hi.biadu.com/你想干什么/" ) ; 然后就可以用下面语句来跳到那个网页上去。 Server.Redirect(ur...
JavaScript

87,997

社区成员

224,709

社区内容

发帖
与我相关
我的任务
社区描述
Web 开发 JavaScript
社区管理员
  • JavaScript
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章