>所有文档都使用HTTP标头Content-Type:text / html;字符集= UTF-8.
>所有HTML属性都用单引号或双引号括起来.
>没有< script>文档中的标签.
是否有任何情况下,htmlspecialchars($input,ENT_QUOTES,’UTF-8′)(转换&“,’,>到相应的命名HTML实体)不足以防止跨站点脚本在Web服务器上生成HTML?
但是还有其他种类的注射可以导致XSS:
There are no <script> tags in the document.
这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义):
<div onmouSEOver="alert('<?PHP echo htmlspecialchars($xss) ?>')"> // bad!
或者更糟糕的是,一个javascript:link(需要在转义HTML内的URL转义内部进行JS转义):
<a href="javascript:alert('<?PHP echo htmlspecialchars($xss) ?>')"> // bad!
通常最好避免这些构造,但特别是模板化时.编写<?PHP echo htmlspecialchars(urlencode(json_encode($something)))?>相当乏味
而且注入问题也可能发生在客户端(DOM XSS); htmlspecialchars()不会保护你免受一些JavaScript写入innerHTML(通常是.html()),而不是显式转义.
而且… XSS的原因范围比注射更广泛.其他常见原因有:
>允许用户创建链接,而不检查已知的URL方案(javascript:是最知名的有害方案,但还有更多)>故意允许用户创建标记,直接或通过光标记方案(如bbcode是永远可以利用的)>允许用户上传文件(可以通过各种方式重新解释为HTML或XML)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
