- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我已经用 C 语言为我的 html 网站实现了一个搜索引擎。我的整个网络都是用 C 语言编写的。
我知道 html 输入清理是必要的,因为攻击者可以将这 2 个 html 片段输入我的搜索页面以欺骗我的搜索页面下载和显示外国图像/脚本 (XSS):
<img src="path-to-attack-site"/>
<script>...xss-code-here...</script>
是否可以简单地通过搜索“<”和“>”并将它们从搜索查询中删除来阻止这些攻击?这不会使两个脚本都变得无用,因为它们不会被视为 html 吗?我已经看到 html 过滤远远超出了这个范围,它们完全过滤了所有 JavaScript 命令和 html 标记!
最佳答案
输入清理并非天生“必要”。
最好在输入中删除控制字符之类的内容,当然对于特定的字段,您需要进行特定的类型检查(例如,电话号码包含数字)。
但是,为了抵御跨站点脚本攻击,在所有表单输入中运行转义/剥离函数绝对是错误的做法。遗憾的是,它很常见,但它既没有必要,在许多情况下也不足以防止 XSS。
HTML 转义是一个必须在输出阶段解决的输出问题:也就是说,通常是在将字符串模板化到输出 HTML 页面的时候。逃脱<
至 <
, &
至 &
,并在属性值中转义您用作属性定界符的引号,仅此而已。不可能进行 HTML 注入(inject)。
如果您尝试在表单输入阶段进行 HTML 转义或过滤,那么每当您输出来自不同来源的数据时都会遇到困难,并且您将破坏碰巧出现的用户输入包括 <
, &
和 "
字符。
还有其他形式的转义。如果您尝试创建包含用户值的 SQL 查询,则需要在此时进行 SQL 字符串文字转义,这与 HTML 转义完全不同。如果您想将提交的值放入 JavaScript 字符串文字中,则必须进行 JSON 样式的转义,这又是完全不同的。如果您想在 URL 查询字符串参数中放置一个值,您需要 URL 转义,而不是 HTML 转义。解决这个问题的唯一明智方法是将字符串保留为纯文本,并且仅在将它们输出到不同的上下文(如 HTML)时才对它们进行转义。
Wouldn't these attacks be prevented simply by searching for '<' and '>' and stripping them from the search query ?
是的,如果您还去掉了 & 符号和引号。但是用户将无法在他们的内容中使用这些字符。想象一下,我们试图在 SO 上进行此对话而无法使用 <
, &
或 "
!而且,如果您想去除在某些上下文(HTML、JavaScript、CSS...)中使用时可能特殊的每个字符,您将不得不禁止几乎所有标点符号!
<
是一个有效字符,应该允许用户输入,并且应该在页面上显示为小于号。
My entire web is programmed in C.
我很抱歉。
关于html - 为什么需要如此多的 HTML 输入清理?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3849982/
我需要为元素属性动态构建 XPath 查询,其中属性值由用户提供。我不确定如何清理或清理此值以防止 XPath 等同于 SQL 注入(inject)攻击。例如(在 PHP 中): xpath("//m
问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗? 我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(
你可以在python中创建一个在for循环退出时运行清理代码的迭代吗?就像是: from random import randint class Iterable: def __iter__(
假设我定期将数据插入 SQLite 数据库,然后清除前 50% 的数据,但我不清理。 我现在是否有类似文件前 50% 的清零页面之类的东西?如果我添加另一批数据,我是否正在填写那些清零的页面? 手册中
我有一堆 HTML 代码,我想在其中删除所有 HTML 标记。 我认为 Regex(正则表达式)可以做到这一点。通过搜索和替换,我将如何执行此操作? 我尝试了 ,我认为 * 是通配符,但显然不是。
我仍在学习 Haskell,我想知道是否有一种不太冗长的方法来使用 1 行代码来表达以下语句: map (\x -> (x, (if mod x 3 == 0 then "fizz" else "")
我需要怎么做才能正确清理/转义程序化SSH命令中输入的参数? 例如,路径参数- public boolean exists(String path) { try { Chann
这个问题已经有答案了: How to clear the canvas for redrawing (25 个回答) 已关闭10 个月前。 我目前正在尝试创建一个带有雨滴落下的 Canvas ,我唯一
我目前正在使用此过程来清理/过滤用户输入的评论 -> 这个是用来去掉斜线的……和 if (get_magic_quotes_gpc()) { function stripslashe
是否可以在 portal_setup 中删除旧的导入配置文件。 目前,我的网站上有许多可追溯到 2009 年的条目:: import-all-profile-Products.Archetypes_
假设我有多个指令,包括以下内容: ...template content... ...template content... 你如何销毁指令?通常我会在 jquery 中做一些我 $('#2').re
我正在开发一个可移植java应用程序,它可以在用户的PC(Windows XP)上动态生成一些文件。现在,我想要的是在java程序退出后删除这些临时文件。显然,java的文件删除机制是不可信的。即
我有一个 argv c 程序,它反转单词,并查看它是否是回文。我只是想清理输出并让它打印原始输入而不是相反的输入,但由于它是 argv,我似乎不知道该怎么做。 int main(int argc, c
我的网页上有一篇用 markdown 写的文章,我想在索引页上显示一份简短的简历。 问题是正文有markdown,我想在简历上显示纯文本。 例如: Article text: Hello people
在下面的代码片段中,可以做些什么来a)让编译器安静,b)清理交叉的指针困惑? extern struct tree *sintablein[sintablesize]; struct tree *(*
我试图弄清楚 WeakHashMap 在垃圾收集后如何清理。正如你们中许多人可能知道的那样,当 WeakHashMap 条目的键被垃圾回收时,它会自动删除。但是,例如,如果我做这样的事情: List>
我对构建的理解是,它只编译上次构建中编辑过的Java文件,而干净构建将删除所有类文件并重新编译所有文件。那么,当单独构建就足以满足我提供最新版本的类文件的需要时,干净构建的效用是什么? 最佳答案 有时
是否有任何简单的(内置的、附加的、开源的或商业的)在 Postgresql(主从)上进行复制,以便在复制时清理从属内部的数据以符合 PCI 合规性? ETL工具怎么样?它不一定是瞬时的……最多一个小时
我有一个将数据保存到 MySQL 数据库的网站 在将 HTML 插入 MySQL 或在我的网站上显示它时,我应该转义 HTML 吗? 理想情况下,我想将原始 HTML 输入到我的数据库中,并在每次从中
我知道我已经asked一个关于 sanitizer 和转义的问题,但我有一个问题没有得到回答。 好了,到此为止。如果我有一个 PHP 脚本并且我 GET用户输入和SELECT它来自 mySQL 数据库
我是一名优秀的程序员,十分优秀!