个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在与一位同事争论如何通过特定字符的编码来防止 XSS 攻击。将逃脱<字符 <做这件事吗?
当我查看attack vector cheat sheet published by OWASP时,似乎所有攻击都使用 <品格作为执行的基础。
如果这不起作用,什么攻击可以打败它?
最佳答案
不,对于 HTML 正文,您还需要对 & 进行编码字符以防止攻击者潜在地逃脱转义。
查看 XSS Experimental Minimal Encoding Rules :-
HTML Body (up to HTML 4.01):
HTML Entity encode
< &specify charset in metatag to avoid UTF7 XSS
XHTML Body:
HTML Entity encode
< & >limit input to charset http://www.w3.org/TR/2008/REC-xml-20081126/#charsets
请注意,如果您想在属性值中输入内容,则需要对所有具有特殊含义的字符进行正确编码。 XSS (Cross Site Scripting) Prevention Cheat Sheet提到对以下字符进行编码:-
&,<,>,",',/
您还必须引用属性值才能使转义生效。
关于security - 转义 < 足以防止 XSS 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22799576/
25
4
0
我想在我公司的 Intranet 中,在 Internet 上放置一个 Web 服务,以使合作伙伴能够访问该 Web 服务提供的信息。 目前,Web 服务位于 SOA 中,我决定将所有内容都迁移到 R
是the Scribe OAuth library (用Java编写)支持3足OAuth ? 这里有人说它只适用于两条腿: How do I use OAuth within my GWT appli
在 React 中使用 Redux 进行 OAuth2 身份验证的可接受方法是什么? 我当前的设置涉及使用 Redux-Auth-Wrapper 包装 react 路由器组件,如果用户未经过身份验证,
OAuth 1.0a 凭证需要以明文形式(或以明文形式检索的方式)存储在服务器上,至少在进行 2 腿身份验证时,我是否正确?假设您使用的是 HTTPS 或其他 TLS,这不是比使用用户名和加盐 + 哈
我是一名优秀的程序员,十分优秀!