Ist xss Angriff zwischen HTML-Tag möglich, während < und> codiert sind? zum Beispiel:Ist xss Angriff zwischen HTML-Tag möglich, während < and > codiert sind
<tag>{{output}}</tag>
if "<", ">" in {{output}} codiert in "& lt;", "& gt;", und <tag> nicht <script> kann xss geschehen sein kann?
Zunächst muss gesagt werden, dass manuell implementieren Ihre eigenen XSS-Filter ist fast immer eine schreckliche Idee..
Sie sind in der Regel sehr einfach zu umgehen, vor allem durch die Codierung von Nutzdaten (z. B. < kann URL-codiert als %60, usw.). Es ist viel sicherer (und vorzuziehen), native Escape-Funktionen zu verwenden, die von Ihrer Plattform zur Verfügung gestellt werden, wann immer dies möglich ist. Zum Beispiel htmlspecialchars in PHP, html.escape in Python und so weiter.
In Ihrem spezifischen Beispiel ist nicht möglich, mit XSS < oder > weil der Ausgabe zwischen Tags eingefügt wird und nicht innerhalb vonsie (wie in einem Attributwert). Ihre ursprüngliche Filter würde schützen nicht gegen XSS in anderen Szenarien wie:
<img src="{{output}}">
einen Wert von " onerror="alert(1) Einfügen in dieser XSS führen würde:
<img src="" onerror="alert(1)">
Bitte Ihre eigenen Filter nicht implementieren, wenn Sie helfen können es. Hier finden Sie einige OWASP Dokumentation:
Ja, ich stimme mit dem Punkt „ist Ihre eigenen XSS-Filter Umsetzung fast immer eine schreckliche Idee“ .... Nun, kommt zurück zu dieser Frage möchte ich nur herausfinden, ob die Jquery-Methode Text (Eingabe) ist sicher genug, um zu verhindern XSS, die "<", ">" in "<", ">. – lwwwzh
es ist völlig abhängig von der Implementierung. Wenn Sie können src = "brokenSrc" onerror = "alert ('XSS');" in ein img dann nein ist es nicht sicher. – Dane
Einzigen Punkt, mit dem ich nicht einverstanden bin, ist der Umfang Ihrer Beratung. "Die Umsetzung Ihrer eigenen Sicherheit ist fast immer eine schreckliche Idee". – Aron