XSSのHTMLコンテキストでエスケープしたいのですが、これまでのところ、<、>、 "characters"を扱います。 アンパサンドもエスケープすることをお勧めしますが、なぜですか? 私が<をエスケープすると、>と "、誰かがアンパサンドがHTMLコンテキストでXSS攻撃を許可する方法を示すことができますか?クロスサイトスクリプティング(XSS):アンパサンドをエスケープする必要がありますか?
乾杯!あなたはURL内のparamsを連結する&を使用
本当に見てくださいOWASP XSS予防チートシートで。
&は、他の防御を回避するために使用できるため、逃げる必要があります。 <、「、開発者は「エスケープのonclickイベントハンドラ内でXSSを防御するために
<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>
と> data_from_userで、すべてがOKであると考えて問題があれば合格アタッカータイプ'次のとおりです。このコードを考えてみましょう。エスケープ、しかし、攻撃者はJavaScriptを実行できるようになってしまう
興味深い例、歓声、私が試した何 。。!注射することでしたこれはhtml: <スクリプトタイプ= "text/javascript" > 実行されないhowerverは "
:
スクリプトコードはWebページが犠牲者に
出典
2012-02-03 05:44:43 Adrian
ダウン有権者は、彼の見解を説明しなければならない、私はこの答えに同意+1 – tusar