用于防止 xss 的编码引号不会显示在 HTML 中

【问题标题】:encode quotes for xss prevention are not displayed in HTML用于防止 xss 的编码引号不会显示在 HTML 中
【发布时间】:2017-03-23 08:05:47
【问题描述】:

我正在将一个元素编写为 HTML 中的 <span>"carbon</span>(对引号进行编码)。但是,当我在 chrome/FF 中检查 HTMl 时,它看起来像 <span>"carbon</span>(甚至也尝试通过编辑作为 HTMl 选项)。我如何证明双引号 " 已编码。请指导我。 谢谢

【问题讨论】:

    标签: character-encoding xss quotes double-quotes web-inspector


    【解决方案1】:
    1. 该位置的引号不需要转义,它们在那里没有歧义。
    2. 使用“查看源代码”功能查看原始源代码; 元素检查器为您提供实时 DOM 的视图,这可能与您最初发送到浏览器的原始源代码完全不同。

    【讨论】:

    • 谢谢@deceze,它帮助了我。但是,如果我使用相同的<span>"carbon</span> 动态呈现该 HTML 元素,那么我们如何交叉检查编码值?原始源代码不会显示这些东西。
    • 那么它并不真正作为源代码存在。一旦它被转换为一个 DOM 节点,就没有它的潜在源代码表示了。如果它看起来像 DOM 内容一样,那就是你需要担心的。
    猜你喜欢
    • 1970-01-01
    • 2019-01-05
    • 2013-05-26
    • 1970-01-01
    • 1970-01-01
    • 2015-08-20
    • 1970-01-01
    • 2021-04-22
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode