javascript - 为什么用于 html 的 simplejson 编码器使用\\u0026 转义而不是 & 让 XSS 发生？

Question

我正在尝试自动将进入 json 对象的 html 转义字符串。 simplejson 有 JSONEncoderForHTML这应该正是这样做的。这是它转义 html 的方式:

chunk = chunk.replace('&', '\\u0026')
chunk = chunk.replace('<', '\\u003c')
chunk = chunk.replace('>', '\\u003e')

1) 为什么使用这些代码而不是 cgi.escape 的 html 编码用途？

这是:

chunk = chunk.replace('&', '&')
chunk = chunk.replace('<', '&lt;')
chunk = chunk.replace('>', '&gt;')

他们每个人都说:

simplejson:要将 JSON 内容嵌入网页上的脚本标记中，字符 &、< 和 > 应该被转义。 它们不能用通常的实体(例如 &)转义，因为它们不会在标签内展开。

cgi.escape:将特殊字符“&”、“<”和“>”替换为 HTML 安全序列。

2) 粗体部分的真正含义是什么？

除了不理解这里的差异之外，我的问题的核心是 simplejson 方法让 XSS 发生，但是如果我进入它的 html 编码器并将替换调用更改为 cgi.escape 的调用，则没有 XSS。

鉴于此输入 {'label': 'XSS HERE"><script>alert(1)</script>'}

这是使用 simplejson.encoder.JSONEncoderForHTML 的输出:

{"label": "XSS HERE\"\u003e\u003cScript\u003eAlert(1);\u003c/Script\u003e"}

这是使用 simplejson.encoder.JSONEncoderForHTML 并更改 replace 中的代码的输出至 &等，如前所述:

{"label": "XSS HERE\"><Script>Alert(1);</Script>"}

它用于从 .js 脚本(不在 html 文件之间)自动完成:

return $('<a/>').attr('href', result.url)
        .append($('<img>').attr('src', imageurl)
            .addClass(image_class)
            .after($('<span/>')
            .addClass(label_class).text(result.label)));

result.label是键的值 'label' .

3) 那么，为什么我使用 simplejson 方法得到一个显示 1 的 javascript 警告，而使用 cgi.escape 转义却没有？

代码是否像\\u003c解码并视为 <人物？

为了提供更多上下文，这样我就不必在我的网络应用程序的每个 JSON 处理程序中都执行此操作并且可能忘记转义某些内容:

response = {'A': Escape(a), 'B': Escape(b)} # with many more variables here
return json.dumps(response)

4) 是否有一种替代方法可以自动转义 html 将在 json 中返回的内容？

对象的递归遍历 tornado.escape.recursive_unicode但是转义呢？还有别的吗？

更新:这会发出警报，那么为什么要使用这种方法逃脱呢？

<div id="alert">a</div>
$("#alert").html("XSS HERE\"\u003e\u003cScript\u003ealert(1);\u003c/Script\u003e");

http://jsfiddle.net/AcLYd/

Answer 1

JSONEncoderForHTML 使 JSON 可以安全地嵌入 <script>标记，它不会执行您希望它执行的操作，并且没有合理的方法可以使用此库执行此操作。