Play 框架中正确转义的指南

Question

我正在尝试绘制 Play 框架如何支持转义。

这是一个很好的页面，说明了所需的功能： https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

所以我试图将其与 Play 模板功能联系起来，并充分了解 Play 做什么和不做什么。

• HTML 转义：${} 或 escape() 函数
• 属性转义：找不到内置解决方案
• JavaScript 转义：有一个 escapeJavaScript() http://www.playframework.org/documentation/1.2/javaextensions
• CSS 转义：我找不到内置解决方案
• URL 转义：没有什么特别的内置，但通常的 Java 解决方案，例如Java equivalent to JavaScript's encodeURIComponent that produces identical output? - 更新：http://www.playframework.org/documentation/1.2/javaextensions 有 urlEncode()

另一个混淆点是对index.json 的支持（即使用模板构建 JSON 而不是 HTML）。 ${} 会神奇地切换到 JSON 文档中的 JavaScript 转义，还是仍然转义 HTML，所以 JSON 模板中的所有内容都必须有明确的 escapeJavaScript()？

http://www.playframework.org/documentation/1.2/javaextensions 上还有一个 addSlashes()，但对于我能想到的任何情况，它似乎都不太合适。 (?)

如果有关于如何在 Play 中进行各种逃生操作的详尽指南，那就太好了。在我看来，在某些情况下答案是“自己动手”，但也许我错过了所包含的内容。

Answer 1

我一直在研究这个问题，所以决定根据您已有的内容、OWASP cheat sheet 和我自己的一些实验来写下我自己的答案

HTML 转义：

• ${} 或 escape() 函数

属性转义：（常用属性）

• 只要将属性用双引号 (") 括起来并使用 ${}，就可以在游戏中处理。
• 对于复杂属性（href/src/等），请参见下面的 JavaScript
• 示例不安全代码
  • <a id=${data.value} href="...">...</a>
  • <a id='${data.value}' href="...">...</a>
• 这会与 data.value 中断：
  • % href=javascript:alert('XSS')
  • %' href=javascript:alert(window.location)

JavaScript 转义：（和复杂的属性）

• 使用 escapeJavaScript()。 http://www.playframework.org/documentation/1.2/javaextensions
• 示例不安全代码
  • <a onmouseover="x='${data.value}'; ..." href="...">...</a>
• 这会与 data.value 中断：
  • '; javascript:alert(window.location);//

CSS 转义：

• 不确定，因为我不需要这个。
  • 我想您需要以某种方式创建自己的。希望有一些东西可以为您操纵字符串。

网址转义：

• 使用 urlEncode()。 http://www.playframework.org/documentation/1.2/javaextensions

Answer 2

我认为你的总结是绝对正确的。 Play 为您提供了一些解决方案，但不是全部。但是，在 Play 没有提供某些东西的两个地方（在 CSS 和属性中），我实际上找不到需要它。

OWASP 标准规定您应该转义不受信任的代码。因此，在 CSS 中包含不受信任的代码的唯一方法是动态生成它。如果它是动态生成的，那么使用标准 Groovy 模板并因此使用${} 和escape() 不会阻止您这样做。

至于属性转义，据我所知，你唯一需要它的时候是在 groovy 模板中构建视图时，所以同样，你可以使用 ${} 或 @ 987654325@.