个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
36
4
我正在尝试自动将进入 json 对象的 html 转义字符串。 simplejson 有 JSONEncoderForHTML这应该正是这样做的。这是它转义 html 的方式:
chunk = chunk.replace('&', '\\u0026')
chunk = chunk.replace('<', '\\u003c')
chunk = chunk.replace('>', '\\u003e')
这是:
chunk = chunk.replace('&', '&')
chunk = chunk.replace('<', '<')
chunk = chunk.replace('>', '>')
他们每个人都说:
simplejson:要将 JSON 内容嵌入网页上的脚本标记中,字符 &、< 和 > 应该被转义。 它们不能用通常的实体(例如 &)转义,因为它们不会在标签内展开。
cgi.escape:将特殊字符“&”、“<”和“>”替换为 HTML 安全序列。
除了不理解这里的差异之外,我的问题的核心是 simplejson 方法让 XSS 发生,但是如果我进入它的 html 编码器并将替换调用更改为 cgi.escape 的调用,则没有 XSS。
鉴于此输入 {'label': 'XSS HERE"><script>alert(1)</script>'}
这是使用 simplejson.encoder.JSONEncoderForHTML 的输出:
{"label": "XSS HERE\"\u003e\u003cScript\u003eAlert(1);\u003c/Script\u003e"}
这是使用 simplejson.encoder.JSONEncoderForHTML 并更改 replace 中的代码的输出至 &等,如前所述:
{"label": "XSS HERE\"><Script>Alert(1);</Script>"}
它用于从 .js 脚本(不在 html 文件之间)自动完成:
return $('<a/>').attr('href', result.url)
.append($('<img>').attr('src', imageurl)
.addClass(image_class)
.after($('<span/>')
.addClass(label_class).text(result.label)));
result.label是键的值 'label' .
代码是否像\\u003c解码并视为 <人物?
为了提供更多上下文,这样我就不必在我的网络应用程序的每个 JSON 处理程序中都执行此操作并且可能忘记转义某些内容:
response = {'A': Escape(a), 'B': Escape(b)} # with many more variables here
return json.dumps(response)
对象的递归遍历 tornado.escape.recursive_unicode但是转义呢?还有别的吗?
更新:这会发出警报,那么为什么要使用这种方法逃脱呢?
<div id="alert">a</div>
$("#alert").html("XSS HERE\"\u003e\u003cScript\u003ealert(1);\u003c/Script\u003e");
最佳答案
JSONEncoderForHTML 使 JSON 可以安全地嵌入 <script>标记,它不会执行您希望它执行的操作,并且没有合理的方法可以使用此库执行此操作。
关于javascript - 为什么用于 html 的 simplejson 编码器使用\\u0026 转义而不是 & 让 XSS 发生?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24443688/
36
4
0
我想显示阿拉伯文字,但字符 المملك 显示。 例如,在 المملكة العربية السعودية 上显示单词 المملك٩ ا
我的应用程序正在 java + MSSQL 和 MySQL 上运行。下面的查询适用于 MSSQL,但不适用于 MySql。在 mysql 中,当我编写如下查询时,它给出了错误的结果 查询 select
根据 is_destructible 的定义( http://eel.is/c++draft/meta.unary.prop#lib:is_destructible ), is_destructib
我有一个数据库表,其中有一列我对波斯字母进行了分类,以便稍后使用 MySQL WHERE 选择。一切都适用于所有字母,但我在选择在数据库中存储为 (Ù†) 的字母 (?) 和存储为 (Ú†) 的 (?
我知道像这样的可选链接: someOptional?.someProperty 基本上是 someOptional.map { $0.someProperty } 但是,我发现同时做这两件事是不可能的
u-boot配置文件中的以下配置我看不懂 CONFIG_SYS_EXTRA_OPTIONS="SYS_SDRAM_SIZE=0x20000000" 好像在 u-boot 代码中设置 DRAM 大小。但
我对以下两个方法声明感到困惑: private T funWorks(T child, U parent) { // No compilation errors }
给定如下 API: class Bar { ... } class Foo extends Bar { ... } 在 Java 的 Optional 类型中,我们可以说: Optional fooO
我有一个文件,每行有两个字符: $ cat roman Ⅱ Ⅲ nut 当我用 sort -u 对这个文件进行排序时,只显示一行: $ sort -u roman Ⅱ Ⅱ是代码点U+2161,Ⅲ是代码
我正在尝试将 C 数组分配给 C++ std::array。 我该如何做到这一点,最干净的方式并且不制作不需要的拷贝等? 什么时候做 int X[8]; std::array Y = X; 我得到一个
我有以下案例类: case class [Q Length[T] 但是,我收到一条错误消息,说 需要三个参数,而我只给出了两个。我希望它像这样工作: type Area[T] = [Length[T
它是 well documented那个[T; n]可以强制到[T] .下面的代码也是well-formed : fn test(){ let _a: &[i32] = &[1, 2, 3];
我正在尝试使用 tweepy 在 Tkinter 窗口上显示我的 Twitter 时间线。这是代码 import tweepy import tkinter consumer_key = 'xxxxx
我正在使用以下包含 letter ü 的文本片段: test für fur test 代码如下: import re for m in re.finditer(r, line, re.IGNOREC
我对 USQL 很陌生,想知道如何在 select 语句中将“日期时间”转换为“日期”。另外,我如何摆脱毫秒和上午/下午?我真的很感激这方面的任何帮助。谢谢你们。 最佳答案 下面是有效的代码。注意括号
在 U-SQL 自定义代码(代码隐藏或程序集)中可以调用外部服务,例如bing搜索或 map 。 谢谢, 纳西尔 最佳答案 由于以下原因,目前不支持此功能: 想象一下,您编写了一个 UDF 或 UDO
我想 ping 出多个以太网端口。 u-boot 仅支持单个以太网端口是否存在固有限制? 最佳答案 Can u-boot support more than one ethernet port? 是的
我最近开始学习Prolog,但无法解决如何将三个列表合并的问题。 我能够合并两个列表: %element element(X,[X|_]). element(X,[_|Y]):-
我们使用 Beaglebone 黑色定制板。我编辑了一个链接器脚本文件以添加内存部分以在其中记录一些信息: . = ALIGN(4); .logging : { _log_begin
我们使用 Beaglebone 黑色定制板。我编辑了一个链接器脚本文件以添加内存部分以在其中记录一些信息: . = ALIGN(4); .logging : { _log_begin
我是一名优秀的程序员,十分优秀!