GWT HTML小部件XSS安全性
这很可能是一个不切实际的问题,但根据官方开发文档,GWT的HTML小部件不是XSS安全的,在嵌入自定义HTML/脚本文本时必须谨慎 所以我想我的问题是,为什么会这样:GWT HTML小部件XSS安全性,html,security,gwt,xss,Html,Security,Gwt,Xss,这很可能是一个不切实际的问题,但根据官方开发文档,GWT的HTML小部件不是XSS安全的,在嵌入自定义HTML/脚本文本时必须谨慎 所以我想我的问题是,为什么会这样: HTML testLabel = new HTML("dada<script type='text/javascript'>document.write('<b>Hello World</b>');</script>"); 不显示javascript弹出窗口?如果GWT的HTML小
HTML testLabel = new HTML("dada<script type='text/javascript'>document.write('<b>Hello World</b>');</script>");
不显示javascript弹出窗口?如果GWT的HTML小部件确实能够防止XSS攻击,那么在什么样的情况下,它不能保护我,这样我就可以知道会发生什么?我不知道这个小部件的具体情况,但总的来说,值得知道XSS向量有很多种风格。只有一小部分人实际使用了script标记 一个非常重要的因素是它们依赖于位置。例如,在任何标记之外是xss安全的字符串,在标记的属性值内可能不安全,或者在javascript块内的分隔字符串内可能不安全 它们也可能依赖于浏览器,因为许多人利用文档解析模型中的“bug” 要了解可被滥用以产生恶意javascript注入的各种不同向量,请参见以下两个
我还建议您阅读我对这个小部件不太了解,但总的来说,值得一提的是XSS向量有很多不同的风格。只有一小部分人实际使用了script标记 一个非常重要的因素是它们依赖于位置。例如,在任何标记之外是xss安全的字符串,在标记的属性值内可能不安全,或者在javascript块内的分隔字符串内可能不安全 它们也可能依赖于浏览器,因为许多人利用文档解析模型中的“bug” 要了解可被滥用以产生恶意javascript注入的各种不同向量,请参见以下两个
我还建议您阅读GWT文档,其中包含一些关于安全性的内容,包括使用XML处理XSS 您的示例不起作用,因为通过innerHTML定义的脚本无法在Chrome/Firefox中执行。我认为IE使用defer属性有一些解决方法
但是你不应该依赖这种浏览器限制。。因此,最好使用SafeHtml并始终验证用户的输入。GWT文档中几乎没有关于安全性的内容,包括使用XML处理XSS 您的示例不起作用,因为通过innerHTML定义的脚本无法在Chrome/Firefox中执行。我认为IE使用defer属性有一些解决方法
但是你不应该依赖这种浏览器限制。。因此,最好使用SafeHtml并始终验证用户的输入。请参阅此处的类似帖子:请参阅此处的类似帖子:非常感谢,非常有用完整的语言无关资源!非常感谢,非常有用的语言不可知论资源!