未檢測到 OWASP ESAPI XSS 攻擊

Question

在一個 web 項目中，我們使用 ESAPI 驗證器來檢測使用 antisamy XML 文件的 XSS 攻擊。 雖然大多數攻擊都按預期檢測到，但它無法將下面給定的輸入檢測為 XSS 攻擊。

<img src=x onerror=alert(1) alt=

瀏覽器可能會自行關閉標簽，從而觸發警報 function。

令人驚訝的是，ESAPI 將以下給定輸入檢測為 XSS 攻擊：

<img src=x onerror=alert(1) alt="文本"

后端寫在Java，UI寫在JavaScript。使用的Antisamy文件：

https://github.com/OWASP/EJSF/blob/master/esapi_master_FULL/antisamy-esapi.xml

我也試過使用myspace antisamy 文件，但問題仍然存在。

有人可以幫我解決行為差異的原因或如何緩解問題嗎？

謝謝。

Answer 1

這也有助於我們了解您正在使用哪個版本的 ESAPI 進行測試，因為不同版本使用不同版本的 AntiSamy。 （事實上 ，不久將發布一個新的 1.6.0 版本，之后我們希望發布一個新的 ESAPI 點版本。）但了解 ESAPI 版本（或更具體地說，AntiSamy 版本）將使我們能夠確保這不是 AntiSamy 中的錯誤。