HTML 链接标签的 XSS 漏洞

【问题标题】:XSS Vulnerabilities for HTML link tagsHTML 链接标签的 XSS 漏洞
【发布时间】:2017-01-02 03:22:38
【问题描述】:

安全团队在我的网站上进行了漏洞检查,发现有很多 XSS 漏洞。

所有的漏洞都可以分为以下三类:

双引号后包含脚本:对于链接标签,表示可以在href属性的双引号后添加脚本,如下所示:

<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"><script src=as213eS.js>

双引号后的标记: 

<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"<a href=javascript:alert(12312)>aa</a>

双引号后的 SVG 标记:

&lt;link rel = "canonical" href="http://www.unitedforever/about/alliance/?"&gt;&lt;svg onload=alert(12321)>

谷歌搜索对于如何防止这些类型的漏洞没有太大帮助。有什么建议吗?

【问题讨论】:

标签: html security web xss


【解决方案1】:

  • 当您将数据包含在 html 中时,系统地对数据进行编码(最好使用默认情况下为您执行此操作的框架)。 根据上下文进行编码。要将其包含在两个标签之间、属性中或 javascript 中,您需要对其进行不同的编码。这就是为什么您在需要使用它时对其进行编码,而不是在数据库中。

  • 使用 CSP(内容安全策略)检测并防止 XSS 在您遗漏某些内容时造成过多的破坏。

【讨论】:

猜你喜欢
  • 2021-09-03
  • 2014-04-16
  • 2023-04-07
  • 1970-01-01
  • 1970-01-01
  • 2012-03-10
  • 2012-06-21
  • 2011-12-03
  • 2021-05-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode