清理 <script> 元素内容

Question

假设我想通过动态<script> 元素向我的客户提供一些数据（在第一个响应中，没有延迟）。

<script><%= payload %></script>

假设payload 是字符串var data = '</script><script>alert("Muahahaha!")';</script>。结束标记 (</script>) 将允许用户将任意脚本注入我的页面。如何正确清理脚本元素的内容？

我想我可以将</script> 更改为<\/script> 并将<!-- 更改为<\!--。我还需要逃脱其他危险的字符串吗？有没有更好的方法来提供这种“冷启动”数据？

Answer 1

假设您正在这样做：

有效载荷设置为

var data = '[this is user controlled data]';

其余代码（赋值、引号和分号）由您的应用程序生成，那么您想要的编码是十六进制实体编码。

请参阅OWASP XSS Prevention Cheat Sheet, Rule #3 了解更多信息。这将转换

</script><script>alert("Muahahaha!")

进入

var data = '\x3c\x2fscript\x3e\x3cscript\x3ealert\x28\x22Muahahaha\x21\x22\x29';

试试这个，你会发现它的优点是存储用户设置的字符串完全正确，不管它包含什么字符。此外，它还负责单引号和双引号编码。作为一个超级奖励，它也适合存储在 HTML 属性中：

<a onclick="alert('[user data]');" />

通常必须再次进行 HTML 编码才能正确显示（因为 HTML 属性中的 & 被解释为 &）。但是，十六进制实体编码不包含任何具有特殊含义的 HTML 字符，因此您可以花一个价格获得两个。

从 cmets 更新

OP 表示服务端代码会以表格形式生成

var data = <%= JSON.stringify(data) %>;

以上仍然适用。在将值插入 JSON 时，由 JSON 类正确地对实体进行十六进制编码。这不能在课堂之外轻松完成，因为您必须再次有效地解析 JSON 以确定当前语言上下文。我不建议选择在</script> 中转义正斜杠的简单选项，因为还有其他序列可以结束语法上下文，例如CDATA closing tags。正确转义，您的代码将面向未来且安全。

Answer 2

针对数据的非变异进行了编辑。

如果我解释正确的话。您希望防止用户在用户提交的字符串中过早结束 script 标记。正如您在结束标记<\/script> 中添加反斜杠所说的那样，这可以为html 完成。在这种情况下，这是您应该担心的唯一逃避。您不需要转义 html cmets，因为浏览器会将其解释为 javascript 的一部分。也许如果某些旧浏览器不能正确解释默认为 text/javascript 类型的脚本标签（language="javascript" 已弃用），则可能需要添加 type='text/javascript'。

---

根据 Mike Samuel 的回答 here 我可能错了不需要转义 html cmets。但是我无法用铬或铬复制它。