एचटीएमएल में, कई विशेष पात्र < > & ' "
हैं जिनके पास डोम पार्सर का महत्व है। ये पात्र हैं जैसे PHP के htmlspecialchars एचटीएमएल इकाइयों में कनवर्ट करते हैं, इसलिए जब वे पार्स किए जाते हैं तो वे गलती से कुछ ट्रिगर नहीं करते हैं।क्या अन्य अनुक्रम ब्राउज़र HTML विशेष वर्णों के रूप में व्याख्या करते हैं?
प्रदर्शन किया अनुवाद कर रहे हैं:
- '&' (एम्परसेंड) हो जाता है
&
"
(दोहरे उद्धरण)"
हो जाता है जब ENT_NOQUOTES सेट नहीं है।'
(सिंगल कोट)'
केवल बनता है जब ENT_QUOTES सेट होता है।- '<' (कम से कम)
<
- '>' (से अधिक) हो जाता है
>
हालांकि, मुझे याद है कि IE6 की तरह पुराने ब्राउज़र में, वहाँ भी अन्य बाइट दृश्य थे हो जाता है जो ब्राउज़र के DOM पार्सर को interpret content as HTML पर ले गया।
क्या यह आज भी एक समस्या है? यदि आप अकेले इन 5 को फ़िल्टर करते हैं तो एक्सएसएस को रोकने के लिए पर्याप्त है?
उदाहरण के लिए, यहाँ (UTF-8 में) सभी जाना जाता चरित्र "<" HTML और जावास्क्रिप्ट में के संयोजन कर रहे हैं।
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C
omfg @ 'विशेषता =" और {चेतावनी ('एक्सएसएस')} "काम करने के लिए प्रयोग किया जाता है। – goat
नेटस्केप दस्तावेज के साथ मिला आखिरी ब्राउज़र था जो वास्तव में काम करता था, हालांकि मुझे लगता है कि यह आईई 5 और कुछ अन्य लोगों में भी काम करता है, बस इतना ही दस्तावेज नहीं था। लेकिन हां, आधुनिक ब्राउज़र ऐसा करने में सक्षम होने से दूर चले गए, शायद कुछ कारणों से (सुरक्षा, सामग्री और कार्रवाई को अलग करना आदि)। – Ktash
ठीक है, मेरे मामले में मुझे जितना संभव हो सके उतने पात्रों (विशेष रूप से यूनिकोड) का समर्थन करने की आवश्यकता है, इसलिए मैं यह पता लगाने की कोशिश कर रहा हूं कि क्या ब्लॉक करना है क्योंकि मैं लगभग सभी यूनिकोड स्पेस को नहीं समझ सकता। सौभाग्य से, मेरे ज्ञान के लिए केवल छोटी ASCII अंतरिक्ष में खतरनाक सामान शामिल हैं - मुझे केवल आश्चर्य है कि यूनिकोड की गहराई में कुछ चीजें हैं जो * बाइट्स को ट्रिगर करने में मदद कर सकती हैं। ('preg_match_all ('/ \ p {एल} +/u', $ str, $ arr)')। मुझे खतरनाक अनुक्रमों की चर्चा करने की भी आवश्यकता है - इसलिए मैं सब कुछ संदिग्ध नहीं करना चाहता हूं। – Xeoncross