在這種情況下可以使用XSS嗎？

Question

我對安全性不是很好...所以只是想知道是否在使用Lightbox 2.6.1的情況下

編輯：示例顯示為靜態，但實際上，此google.com鏈接來自mySQL DB，我在其中填充了與圖像一同顯示的鏈接（IE，當用戶上傳圖像時，他們鍵入圖像鏈接源），因此是Google。 COM被替換。

<a href="uploads/image.jpg" data-lightbox="example-set" title="&lt;a target='_self' href='http://www.google.com'&gt;Google&lt;/a&gt;">
<img src="uploads/image.jpg" alt="" />
        </a>

是否可以執行XSS或任何形式的危險javascript？ 我問是因為我對這部分猶豫不決。

title="<a target='_self' href='http://www.google.com'>Google</a>"

Answer 1

答案是“可能”。 似乎HTML嵌入在HREF的“ title ”屬性中，因此請確保您不會出現任何一個

1. title標簽。
2. 嵌入式href標簽

這完全取決於您要在其中插入值的編碼方式，但是要確保單獨使用編碼是安全的，可能會比較棘手，因為還要確保無法插入javascript: URL。

在將URL插入數據庫之前，可以對URL進行任何驗證嗎？ 例如，文件名僅包含字母數字字符和擴展名前的一個點。

有關防止XSS的更多信息，請參見此處： https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet