如何确保以下基于DOM的XSS攻击?
具体来说,是否有一个protect()函数,使下面的安全吗?
如果没有,那么还有另一种解决方案吗?
例如:给div一个id然后再为该元素分配一个onclick处理程序
<?PHP
function protect()
{
// For non-DOM XSS attacks, hex-encoding all non-alphanumeric characters
// with ASCII values less than 256 works (ie: \xHH)
// But is it possible to augment this function to protect against
// the below DOM based XSS attack?
}
?>
<body>
<div id="mydiv"></div>
<script type="text/javascript">
var xss = "<?PHP echo protect($_GET["xss"]) ?>";
$("#mydiv").html("<div onclick='myfunc(\""+xss+"\")'></div>")
</script>
</body>
我希望答案不是“避免使用innerHTML”或“正则表达式xss变量到[a-zA-Z0-9]”……即:是否有更通用的解决方案?
谢谢
解决方法:
扩展Vineet的回复,这里有一组测试用例:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。