Security 保护xss的框架
我在OWASP网站上读过关于xss的页面 但我对一个问题很好奇 是否有任何情况下,使用类似html或html的框架是不可能的?某种类型的限制。如果是的话,我想知道情况 如果存在这些情况,手动转义(输出编码)将是防止xss的唯一替代方法Security 保护xss的框架,security,frameworks,xss,htmlpurifier,Security,Frameworks,Xss,Htmlpurifier,我在OWASP网站上读过关于xss的页面 但我对一个问题很好奇 是否有任何情况下,使用类似html或html的框架是不可能的?某种类型的限制。如果是的话,我想知道情况 如果存在这些情况,手动转义(输出编码)将是防止xss的唯一替代方法 谢谢只要您在非HTML上下文中使用数据,这些工具就没用了。将用户数据直接内联到javascript块中是一个相对常见的错误 此外,任何其他非HTML上下文都会给您带来类似的问题,例如:将数据放入某些CSS代码、SMTP信封中的电子邮件地址或在PDF文档中使用数据
谢谢只要您在非HTML上下文中使用数据,这些工具就没用了。将用户数据直接内联到javascript块中是一个相对常见的错误 此外,任何其他非HTML上下文都会给您带来类似的问题,例如:将数据放入某些CSS代码、SMTP信封中的电子邮件地址或在PDF文档中使用数据 因此,理解注入上下文和代码非常重要。您在OWASP上链接到的XSS预防备忘单应该可以帮助您找到这种思考方法。永远不要认为任何“一刀切”的方法都适用于任何地方。始终考虑将不受信任的数据放在何处,以及如何滥用这些数据 此外,这些库并不完美,正在不断改进和修复bug。例如,HTMLPurifier拥有。随着HTML5得到更广泛的支持,情况也将发生变化