文章/答案/技术大牛

发布

社区首页 >问答首页 >如果我在引用的HTML属性中插入不受信任的数据并对“符号”进行编码，那么XSS是可能的吗？

问如果我在引用的HTML属性中插入不受信任的数据并对“符号”进行编码，那么XSS是可能的吗？
EN

Security用户

提问于 2015-08-13 07:57:54

回答 1查看 346关注 0票数 0

如果我在HTML属性中插入不受信任的数据，如下所示：

<img src="http://www.mydomain/<%untrusted_data%>">

如果我在不受信任的数据中对"符号进行编码，那么这个特定的代码是否被完全保护以防止XSS呢？我知道我应该小心，不要让用户插入整个URL，因为这样他们就可以插入javascript:alert()。

xss

回答 1

Security用户

回答已采纳

发布于 2015-08-13 08:06:19

是的，如果属性是双引号，而您正在编码双引号字符，那么就不可能从引用的属性中转义。

但是，我也会对&符号进行编码，因为它本身可以用来启动一个编码字符。

HTML5 5规范状态：

通过按以下顺序提供以下部分，将指定双引用属性值：

属性名
零或多个空格字符
一个"=“字符
零或多个空格字符
一个“”字
属性值
“字

除了属性值的一般要求外，双引号属性值还具有以下限制:不得包含任何文字“”字符。

票数 3

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/96745

复制

QtCreator技巧-代码折叠/展开

edit fold shift toggle

1.光标指向对应的代码块操作ctrl + shift + <折叠代码块和ctrl + shift + >展开代码块； 2.edit(编辑)->advanved(高级)->Toggle Fold All(切换折叠所有)； 3.在编辑界面点击行号所在的三角形图标可以折叠和展开代码。

Qt君

2019/07/15

4.4K0

点击展开显示折叠内容

https java 网络安全

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/111722.html原文链接：https://javaforall.cn

全栈程序员站长

2022/07/12

2.8K0

展开与折叠菜单动画

css

最简单的展开与折叠菜单，一般是通过切换display属性的none和block的值来实现。但是这样会使得整个过程非常的生硬，内容是一瞬间展示给用户，交互过程感觉不是特别好。我们加上动画以后让整个过程更加柔和。

_kyle

2020/08/24

3.8K0

Android-文本折叠点击展开

listview gradle adapter app 布局

Demo：https://github.com/LonglyWolf/NavigationSystemHLJU

圆号本昊

2021/09/24

1.1K0

ElementUI 点击展开/隐藏

vue.js

一、概述在项目，需要使用一个功能，点击某个按钮，展开/隐藏某些说明文字。二、项目演示新建一个vue项目，安装ElementUI 模块即可。新建test.vue <template> <div style="width: 70%;margin-left: 30px;margin-top: 30px;"> <el-button type="danger" icon="el-icon-info" @click="changeDisplay"> <span v-if="isDisp

py3study

2021/03/03

1.8K0

把 excel 表中的数据批量修改到指定数据库表中、根据 excel 表中数据修改数据库表中数据

sql

1. 收到一张 excel 表，要求根据 “转账时间”一列的值批量修改数据库表中 "放款时间"一列的值。

微风-- 轻许--

2019/07/02

4.7K0

把 excel 表中的数据批量修改到指定数据库表中、根据 excel 表中数据修改数据库表中数据

excel数据提取技巧：从混合文本中提取数字的万能公式

编程算法

在上一篇文章中，小花讲解了通过观察混合文本特征，设置特定公式，完成数据提取的三种情景。于是，有些小花瓣悄悄跟小花说：小花老师，我笨，看不出数据特征，我又懒，不想分情景设置不同公式，有没有那种霸王级万能公式，啥混合文本咱都可以硬上弓？

用户8639654

2021/07/26

6.2K0

[iOS] 列表滑动展开隐藏头部HeaderView

ios nat go git

首先看一下BiliBili客户端的视频浏览界面。默认界面Header完全展开，并且Header显示AV号（别乱想，就是视频编号了）以及播放按钮。滑动之后Header被压缩，按钮移到AV号左边。

wOw

2018/09/18

3.4K0

Excel VBA常用功能加载宏——工作表隐藏

vba

有些时候制作的表格，一些基础的设置数据可能不希望使用者看到并被修改掉，这个时候一般可能会选择把表格隐藏起来。

xyj

2020/07/28

2.9K0

从数据库导出数据到Excel表(jxl.jar)

jar excel

package com.*****.query; import java.io.File; import java.io.IOException; import java.io.OutputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.sql.SQLExcep

全栈程序员站长

2021/04/25

9830

Excel应用实践04：分页单独打印Excel表中的数据

vba

在实际工作中，我们经常会遇到想将工作表中的数据（如下图1所示的“数据”工作表）导入到固定的表格（如下图2所示）中并打印。

fanjy

2019/07/19

1.4K0

PHP将数据导出Excel表中（投机型）

其他

　　因为ms word和excel的文档都支持html文本格式，因此我们可以基于这个原理采用html文本格式进行数据的输出。

那一叶随风

2018/08/22

1.6K0

如何从网站提取数据？

爬虫 tcp/ip 数据处理网站大数据

在当今时代，根据数据情况来制定业务决策是许多公司的头等大事。为了推动这些决策，公司全天候跟踪，监视和记录相关数据。幸运的是，很多网站的服务器上存储了大量公共数据，可以帮助企业在竞争激烈的市场中保持领先地位。

用户7850017

2021/01/29

3.1K0

【Excel】用公式提取Excel单元格中的汉字

正则表达式

昨天一个前端的朋友找我帮忙用excel提取代码中的汉字（字符串），可算费了劲儿了，他要提取的内容均在单引号中，但问题是没有统一的规律，同一个单元格可能存在多个要提取的内容，而且汉字中间也夹杂其他字符。

数据科学社区

2018/06/11

8.7K0

JavaWeb中将数据从数据库导出到Excel表的实例

github git 开源

这个博客里面开发的项目，使用POI导出Excel，经过修改支持文件弹窗选择，在使用中包括以下几步。 1.添加jar包

geekfly

2022/04/24

1.1K0

Excel: 提取路径中的文件名

https 网络安全编程算法 windows server javascript

文章背景：在日常工作中，有时需要从绝对路径中提取文件名。比如，已知某个文件的存储路径，想要获取最后的文件名称。下面介绍两种方法。

Exploring

2022/09/20

2.7K0

IDEA 自动折叠隐藏 getter setter 小技巧

getter setter 技巧开发视频

程序员小航

2023/09/21

4740

winform如何保持TreeView节点展开和折叠的状态

其他

转载：http://blog.sina.com.cn/s/blog_6abcacf5010138q5.html

跟着阿笨一起玩NET

2018/09/19

2.5K0

为了提取pdf中的表格数据，python遇到excel，各显神通！

python

不知大家在工作中有没有过提取pdf表格数据的经历，按照普通人的思维，提取pdf的表格数据的方法可能会选择复制粘贴，但这是一个相当繁杂且重复的工作。而今天我们会讲解如何用python和excel来提取pdf的表格数据，看二者哪个更为方便！

Python与Excel之交

2021/08/05

3.4K0

从excel文件xlsx中特定单元格中提取图片「建议收藏」

java https 网络安全

第一种网上通用的用xlsx改zip压缩包，能批量提取出图片。但是无法知道图片在单元格中的顺序信息。

全栈程序员站长

2022/09/14

6.4K0

相似问题

可以直接把储存在熊猫身上的微笑结构输入RDKit来计算分子指纹和相似性吗？

如何使用rdkit将微笑转换为指纹？

144

无法使用rdkit将分子转换为指纹

143

使用RDKit计算sdf文件和结构微笑之间的田本相似度？

113

RDkit指纹

116

添加站长进交流群

领取专属 10元无门槛券

AI混元助手 在线答疑

关注 腾讯云开发者公众号

洞察 腾讯核心技术

剖析业界实践案例

问如果我在引用的HTML属性中插入不受信任的数据并对“符号”进行编码，那么XSS是可能的吗？
EN