如果我在引用的HTML属性中插入不受信任的数据并对“符号”进行编码,那么XSS是可能的吗?
如果我在引用的HTML属性中插入不受信任的数据并对“符号”进行编码,那么XSS是可能的吗?
提问于 2015-08-13 07:57:54
如果我在HTML属性中插入不受信任的数据,如下所示:
<img src="http://www.mydomain/<%untrusted_data%>">如果我在不受信任的数据中对"符号进行编码,那么这个特定的代码是否被完全保护以防止XSS呢?我知道我应该小心,不要让用户插入整个URL,因为这样他们就可以插入javascript:alert()。
回答 1
Security用户
回答已采纳
发布于 2015-08-13 08:06:19
是的,如果属性是双引号,而您正在编码双引号字符,那么就不可能从引用的属性中转义。
但是,我也会对&符号进行编码,因为它本身可以用来启动一个编码字符。
通过按以下顺序提供以下部分,将指定双引用属性值:
- 属性名
- 零或多个空格字符
- 一个"=“字符
- 零或多个空格字符
- 一个“”字
- 属性值
- “字
除了属性值的一般要求外,双引号属性值还具有以下限制:不得包含任何文字“”字符。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/96745
复制
相似问题
phpMyAdmin查询窗口中MySQL中IF语句返回错误
原始查询在phpmyadmin上有效,但在laravel上无效
Mysql查询显示phpmyadmin中的错误
MySQL查询运行在phpMyAdmin中,而不是在Laravel中。
MySQL查询缺少在phpMyAdmin中返回的节点-mysql中的结果
添加站长 进交流群
领取专属 10元无门槛券
AI混元助手 在线答疑
关注 腾讯云开发者公众号
洞察 腾讯核心技术
剖析业界实践案例
腾讯云开发者
