未检测到 OWASP ESAPI XSS 攻击

Question

在一个 web 项目中，我们使用 ESAPI 验证器来检测使用 antisamy XML 文件的 XSS 攻击。 虽然大多数攻击都按预期检测到，但它无法将下面给定的输入检测为 XSS 攻击。

<img src=x onerror=alert(1) alt=

浏览器可能会自行关闭标签，从而触发警报 function。

令人惊讶的是，ESAPI 将以下给定输入检测为 XSS 攻击：

<img src=x onerror=alert(1) alt="文本"

后端写在Java，UI写在JavaScript。使用的Antisamy文件：

https://github.com/OWASP/EJSF/blob/master/esapi_master_FULL/antisamy-esapi.xml

我也试过使用myspace antisamy 文件，但问题仍然存在。

有人可以帮我解决行为差异的原因或如何缓解问题吗？

谢谢。

Answer 1

这也有助于我们了解您正在使用哪个版本的 ESAPI 进行测试，因为不同版本使用不同版本的 AntiSamy。 （事实上 ，不久将发布一个新的 1.6.0 版本，之后我们希望发布一个新的 ESAPI 点版本。）但了解 ESAPI 版本（或更具体地说，AntiSamy 版本）将使我们能够确保这不是 AntiSamy 中的错误。