[英]Is XSS Possible in this case?
我對安全性不是很好...所以只是想知道是否在使用Lightbox 2.6.1的情況下
編輯:示例顯示為靜態,但實際上,此google.com鏈接來自mySQL DB,我在其中填充了與圖像一同顯示的鏈接(IE,當用戶上傳圖像時,他們鍵入圖像鏈接源),因此是Google。 COM被替換。
<a href="uploads/image.jpg" data-lightbox="example-set" title="<a target='_self' href='http://www.google.com'>Google</a>">
<img src="uploads/image.jpg" alt="" />
</a>
是否可以執行XSS或任何形式的危險javascript? 我問是因為我對這部分猶豫不決。
title="<a target='_self' href='http://www.google.com'>Google</a>"
答案是“可能”。 似乎HTML嵌入在HREF的“ title
”屬性中,因此請確保您不會出現任何一個
title
標簽。 href
標簽 這完全取決於您要在其中插入值的編碼方式,但是要確保單獨使用編碼是安全的,可能會比較棘手,因為還要確保無法插入javascript:
URL。
在將URL插入數據庫之前,可以對URL進行任何驗證嗎? 例如,文件名僅包含字母數字字符和擴展名前的一個點。
有關防止XSS的更多信息,請參見此處: https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.