gpt4 book ai didi

html 转义,以及我如何获得所有权

转载 作者:搜寻专家 更新时间:2023-10-31 08:30:54 31 4
gpt4 key购买 nike

我计划接受用户输入,并将其插入到一个 div 中

<div>user_content</div>

一个用户提供内容,另一个用户接收内容。

我认为我会遵循的建议来自 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content

但我很好奇......据我所知,如果我不允许 < 和 >,那应该会阻止任何脚本插入,或任何有趣的事情,真的

因此,问题是:我错到什么程度了?如果 < 和 > 被转义,恶意用户可以通过哪些方式破坏我的页面/插入脚本? (假设文本将被插入到一个 div 中)

假设完全通用:恶意用户可能会用编码等方式做一些奇怪的事情。但是页面指定其编码为UTF-8


请注意,问题是关于在特定上下文中转义:用户文本位于 div 中。不在属性中,不在脚本中,不在 CSS 中。这种天真的转义,将文本放在这个特定的地方会出什么问题?

最佳答案

如果您在显示 时对用户输入进行 HTML 编码,您应该是安全的。在这种情况下,恶意代码(例如脚本标签)只会按原样显示。

关于html 转义,以及我如何获得所有权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25512738/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com