2
どのようにこのXssをStackoverflowから解決しますか?<script type = "text/javascript">アラート( 'Xss done');</script>
A
答えて
3
出力はhtmlエンコードされています。
すべてのhtmlエンティティがエスケープ文字に置き換えられます。たとえば、「<」は<に置き換えられます。 HTML文字のリストとともに、ウィキペディアの
詳細情報、http://en.wikipedia.org/wiki/Character_encodings_in_HTML
+0
http://www.htmlescape.net/htmlescape_tool.htmlここにそれを正確に示すツールがあります。 – charisis
0
ジェフは実際にあなたがそれを見ることができますhere RefactorMyCode.com
に彼の消毒を掲載。現在使用している最終版ではないかもしれませんが、どのように動作するのかの基本が示されます。
+0
サニタイザは、ホワイトリストのないタグを入力から削除します。元の出力を保存するためにHTMLでエンコードされているこの質問タイトルの場合には当てはまりません。 –
関連する問題
- 1. 防止する方法<script>アラート( 'xss vector');</script>種類の攻撃ですか?
- 2. 変換の要領<script>アラート( "555");</script>〜<スクリプト>アラート();入力でのMySQL
- 3. Eclipse構文<script type = "tmpl_handlebars">
- 4. <script/>対<script></script>ウェブパックと角度
- 5. <script>ライン
- 6. Bash while while done <$ 1
- 7. <script language = "javascript" type = "text/javascript">の適切な使用
- 8. <script type = "text/javascript">をiframeに挿入しますか?
- 9. <script>は
- 10. Bash Script:これはどういう意味ですか? "done</ dev/null&disown"
- 11. cmake -D <var>:<type> = <value>:<type>は何ですか?
- 12. <type 'exceptions.NameError'>
- 13. サファリにReferenceError:私はIEでDIV</p> <pre><code><script> function newfunc() { alert("here"); } </script> <button type="button" onclick="newfunc()">Press me</button> </code></pre> <p>自身の中で、次のとFFいる変数
- 14. <script>または<a>タグ
- 15. 解析データは、内部<script> ...</script>ウェブサイト
- 16. ワチールと<script>
- 17. PHPプロジェクト - を使用して<script>/</script>
- 18. <script src = "X"></script> return return | React
- 19. は<script> Node.jsの
- 20. 一覧<Type>
- 21. <input type = "date">
- 22. 複数の<script>タグ?
- 23. javascriptの<script>タグ
- 24. <button>対<input type = "image">
- 25. html - <input type = button>と<button>
- 26. 自動コンパイラjsファイルでtypescriptを使用することは可能ですか? <br /> <code><script type="text/typescript"> // ... </script></code> <br /> が、私はこれを見つけた:<code>https://www.typescriptlang.org/play/index.html</code>
- 27. ナビゲーションバー私はそれはまた、コンソールにエラーが表示されない</p> <pre><code><script type="text/javascript" src="https://code.jquery.com/jquery-2.2.4.js"></script> </code></pre> <p>をインポートするときに
- 28. JAXB:package.package。 <Type>は、package.packageで既に定義されています。 <Type>。 <Type>
- 29. 変数に割り当てられた要求をエクスポートするにはどうすればよいですか?</strong></p> <pre><code><script> var electron = require('electron') </script> <app></app> <script src="bundle.js"></script> </code></pre> <p><strong>App.vue:
- 30. <script><!--//--></script>には近代的な目的がありますか?
私は何もしなかった... http://stackoverflow.com/questions/2425328/what-is-the-waybest-practice-to-deal-with-xssを見てください –
私はしませんでした。ジェフ・アトウッドとジョエル・スポルスキーがそうしました。 – darioo
私はちょうどこの問題を解決する方法を検討しようとしていますが、私はロジックを見つけたより早く答えを受け取っています。私は危険なフォームテキストのAsp.net例外を避けるためにescape()javascript関数を使用し、安全な方法でテキストを表示するためにHtmlEncodeでUrlDecodeを使用すると仮定します。 とにかく人々が言うよりも速いです – cyberdantes