哪个XSS OWASP规则
[英]Which XSS OWASP Rule
问题描述
使用OWASP核对表,这是正确的方法来保护这种情况吗? 这是一个javascript字符串中的url,其中url参数需要具有xss保护。
问题:
<script>
var u = 'xyz.html?x=<% url.baddata %>'
dosomeAjax(u);
</script>
可能解决方案1:
var u = 'xyz.html?x=<% encodeForURL(url.baddata) %>'
可能解决方案2:
var u = 'xyz.html?x=<% encodeForJavaScript(url.baddata) %>'
可能解决方案3:
var u = 'xyz.html?x=<% encodeForJavaScript(encodeForURL(url.baddata)) %>'
3 个解决方案
解决方案1
3 已采纳 2012-05-08 02:28:16
应使用解决方案3:
//solution 3:
var u = 'xyz.html?x=<% encodeForJavaScript(encodeForURL(url.baddata)) %>';
如果我们将表达式重写为:更容易看出这是正确的:
var u = '<% encodeForJavaScript("xyz.html?x=" + encodeForURL(url.baddata)) %>';
首先,我们通过使用适当的转义函数将baddata附加到字符串常量来创建一个安全的URL。 然后我们将这个安全的URL放在JavaScript字符串中,因此我们必须调用JavaScript转义函数。
解决方案2
1 2014-05-01 01:13:22
我将回答我自己的问题。 在一遍又一遍地使用这种情况后,解决方案非常明显,原因也是如此。
首先:任何插入javascript的字符串都必须是javascript安全的。 无论如何,这总是需要发生:
<script>
var x = "<% encodeForJavaScript(someCrazyString) %>";
</script>
这个目标是安全的。 由于这是javascript代码,请将其视为javascript - 这不是网址,因此网址编码不正确。
现在,如果要在URL中使用x ,则需要将其编码为url。
唯一的事情是x现在是一个javascript字符串。 因此,服务器端编码是不可能的,因为字符串已被推出中间层,现在正在浏览器中生存和呼吸。
解决方案是使用javascript的url编码函数: encodeURIComponentz()
<script>
var x = "<% encodeForJavaScript(someCrazyString) %>";
x = x + '234'
var url = 'http://localhost/abc.cfm?x=' + encodeURIComponent(x)
</script>
没有理由使用2个服务器端XXS编码功能。 始终使用单个服务器端编码函数,并为上下文使用正确的服务器端函数:
网址:
<a href="xyz.jsp?x=<% encodeForURL(someString) %>" target="_blank" >click here</a>
JS:
<script>
var x = "<% encodeForJavaScript(someCrazyString) %>";
</script>
JSON:
<script>
var x = {"x" : "<% encodeForJSONinJS(someCrazyString) %>"};
</script>
更新(几年后)
执行2个服务器端编码将获得与在服务器上编码一次和在客户端中编码一次相同的结果。 因此,当且仅当var u保留在url范围内时,解决方案3才是正确的。
进行2次服务器端编码的危险在于,您只能在首次编码的上下文中使用该代码段。
以上面的示例为例,再添加1行:
<script>
var u = 'xyz.html?x=<% encodeForJavaScript(encodeForURL(url.baddata)) %>
dosomeAjax(u);
document.getElementById('someDivTag').innerHTML= u;
</script>
现在有问题,因为你是url编码而不是html编码。 (在这种特殊情况下,这不会呈现xss可变性,因为您不能将url编码的字符串分解为js作用域 - 尽管如此,还有许多其他情况需要将字符串编码为2x)。
为了灵活性,我的首选是在服务器上编码一次,并根据需要在客户端编码:
<script>
var x = "<% encodeForJavaScript(someCrazyString) %>";
var u = 'http://localhost/abc.cfm?x=' + encodeURIComponent(x)
dosomeAjax(u);
document.getElementById('someDivTag').innerHTML= u.toHtml();
</script>
toHtml()是:
var __entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
String.prototype.toHtml = function() {
return String(this).replace(/[&<>"'\/]/g, function (s) {
return __entityMap[s];
});
}
我正在检查Cheran Shunmugavel的答案是否正确。
解决方案3
0 2012-05-07 21:13:39
var u = 'xyz.html?x=<% encodeForURL(encodeForJavaScript(url.baddata)) %>'
EncodeForURL应该是最后一个。
<插入强制性”的评价很糟糕,你在想什么? >
无论将有效负载注入哪里,我是否都应该遵循基于OWASP DOM的XSS建议?
[英]Shouldn't I follow the OWASP DOM based XSS recommendations no matter where the payload is injected?
为什么/如何将 `value="javascript:alert(1)"` 视为 OWASP ZAP 工具中的 XSS 漏洞?
[英]Why/How is `value=“javascript:alert(1)”` considered as a XSS vulnerability in OWASP's ZAP tool?
OWASP ZAP Fuzzing-输入参数作为字符串反映回来,仍然是XSS?
[英]OWASP ZAP Fuzzing- Input parameter is reflected back in response as a string, still XSS?
XSS - 哪些 HTML 标签和属性可以触发 Javascript 事件?
[英]XSS - Which HTML Tags and Attributes can trigger Javascript Events?
是否有一个JavaScript库可用来过滤XSS攻击的字符串?
[英]Is there a javascript library which can be used to filter out strings for XSS attacks?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何使用PHP实施OWASP规则5来缓解XSS
未检测到 OWASP ESAPI XSS 攻击
如何解决OWASP ZAP报告的“警报(1)”; XSS漏洞
无论将有效负载注入哪里,我是否都应该遵循基于OWASP DOM的XSS建议?
为什么/如何将 `value="javascript:alert(1)"` 视为 OWASP ZAP 工具中的 XSS 漏洞?
OWASP ZAP Fuzzing-输入参数作为字符串反映回来,仍然是XSS?
XSS - 哪些 HTML 标签和属性可以触发 Javascript 事件?
是否有一个JavaScript库可用来过滤XSS攻击的字符串?
XSS-哪些浏览器会自动转义地址栏中的URL?
通过 XSS 访问在短时间内可见的 js 变量
相关标签