一尘不染

HTML实体转义以防止XSS

java

我有一些用户输入。在我的代码中,我确保对以下符号进行转义:

& -> & 
< -> &lt; 
> -> &gt;

OWASP指出还有更多的字符可以转义。

对于属性,我做了另一种转义:

& -> &amp; 
" -> &quot;

这样可以确保所有属性都用“括起来。”这样就可以确定自己的html属性,而不是HTML本身。


阅读 885

收藏
2020-12-03

共1个答案

一尘不染

我也使用OWASP(ESAPI)库,以转义不同显示类型的字符串,请使用:

String html = ESAPI.encoder().encodeForHTML("hello < how > are 'you'");
String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello < how > are 'you'");
String js = ESAPI.encoder().encodeForJavaScript("hello < how > are 'you'");

HTML(假设为jsp)

<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>

更新2017

由于ESAPI编码器被认为是旧版,因此已经创建了一个更好的替代方案,并且正在积极维护中,我强烈建议改用OWASP
Java编码器

如果您的项目已经使用ESAPI,则添加了集成,您可以使用该库进行编码。

其用法已在其Wiki页面上进行了说明,但是为了完整起见,这是您可以使用它来对数据进行上下文编码的方式:

// HTML Context
String html = Encoder.forHtml("u<ntrus>te'd'");

// HTML Attribute Context
String htmlAttr = Encoder.forHtmlAttribute("u<ntrus>te'd'");

// Javascript Attribute Context
String jsAttr = Encoder.forJavaScriptAttribute("u<ntrus>te'd'");

HTML(假设为jsp)

<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')">
    <%= html %>
</div>

PS: 存在更多上下文,并且库支持

2020-12-03