1. घर
  2. सवाल और जवाब
  3. क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस): क्या मुझे एम्परसैंड से बचने की ज़रूरत है?

क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस): क्या मुझे एम्परसैंड से बचने की ज़रूरत है?

2012-02-03 12 views
10

मैं एक एचटीएमएल संदर्भ में एक्सएसएस के लिए भागना चाहता हूं, और अब तक मैं <,>, और "अक्षर का इलाज करता हूं जाहिर है कि एम्पर्सेंड से बचने की भी सिफारिश की जाती है, लेकिन क्यों? (एचटीएमएल वैध रखने के अलावा , मान लेते हैं कि यह कोई मुद्दा नहीं है भी नहीं)क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस): क्या मुझे एम्परसैंड से बचने की ज़रूरत है?

तो क्या मैं पूछ रहा हूँ है: जब मैं <,> बचने और ", किसी को प्रदर्शित कर सकते हैं कि कैसे एम्परसेंड अभी भी एक एचटीएमएल संदर्भ में एक XSS हमले अनुमति दे सकते हैं?

चीयर्स!

स्रोत

2012-02-03 Brent Gallagher

उत्तर

6

आपको वास्तव में एक नज़र रखना चाहिए ओडब्ल्यूएएसपी एक्सएसएस रोकथाम धोखा शीट पर।

आपको & से बचना चाहिए क्योंकि इसका उपयोग अन्य सुरक्षा को रोकने के लिए किया जा सकता है। इस कोड पर विचार करें:। data_from_user में

<button onclick="confirm('Do you really want to delete <%= data_from_user; %> ?'">Delete</button>

ऑनक्लिक ईवेंट हैंडलर के अंदर XSS के खिलाफ की रक्षा के लिए, डेवलपर निकल जाता है ', ", < और> और सोचता है कि सब कुछ ठीक है समस्या है अगर हमलावर प्रकार &#39; जो गुजरता है कि एस्केपिंग, लेकिन हमलावर को javaScript चलाने की अनुमति देने के लिए समाप्त होता है

यहाँ उदाहरण:।। http://erlend.oftedal.no/blog/?blogid=124

स्रोत

2012-02-04 08:46:15 Erlend

+0

दिलचस्प उदाहरण, चियर्स मैं क्या करने की कोशिश की।! इंजेक्ट करना था एचटीएमएल में इस: < स्क्रिप्ट type = "text/javascript" > कौन सा निष्पादित नहीं होता है, howerver के रूप में प्रदर्शित "

1

आप & का उपयोग URL में पैरामीटर जोड़ रहे हैं:

परिलक्षित XXS:
स्क्रिप्ट कोड URL जो वेबपेज पीड़ितों को

http://mybank.com/page?message= < स्क्रिप्ट src = "को दर्शाता है में इंजेक्ट किया जाता है बुराई _script.js "/>

स्रोत

2012-02-03 05:44:43 Adrian

+2

नीचे मतदाता उनके विचार की व्याख्या करनी चाहिए मैं इस जवाब से सहमत +1 – tusar

संबंधित मुद्दे

 संबंधित मुद्दे