어떻게이 Xss를 Stackoverflow에서 해결합니까?<script type = "text/javascript"> 경고 ('Xss done');</script>
답변
출력이 html로 인코딩되었습니다.
모든 html 엔티티는 이스케이프 처리 된 문자로 바뀝니다. 예를 들어, "<"은 <
으로 바뀝니다. HTML 문자의 목록과 함께 위키 피 디아에
더 많은 정보는,
http://www.htmlescape.net/htmlescape_tool.html 정확히 설명하는 도구가 있습니다. – charisis
http://en.wikipedia.org/wiki/Character_encodings_in_HTML 제프 실제로 당신은 그것을 here을 볼 수 있습니다 RefactorMyCode.com
에 자신의 소독제를 기록했다. 현재 사용중인 최종 버전이 아닐 수도 있지만 작동 방식의 기본 정보가 표시됩니다.
새 니타이 저는 입력에서 화이트리스트가 아닌 태그를 제거합니다. 원래의 출력을 보존하기 위해 HTML로 인코딩 된이 질문 제목의 경우에는 해당되지 않습니다. –
- 1. 예방 방법 <script> 경고 ('xss vector');</script> 종류의 공격?
- 2. <script></script> 또는 <script />?
- 3. 쿼리 문자열에 <script> 요소가있는 XSS 공격을 방지하려면 어떻게합니까?
- 4. <script src = "myscript.ms"></script>
- 5. HTML5 <script> 선언
- 6. XSS 예방. <script는 충분합니까?
- 7. "<script src ="의 상대성
- 8. HTML 스크립트 태그가 type javascript를 사용하지 않음 <script type = "text/html">?
- 9. 오른쪽이 아닙니다 <type>?
- 10. Grails가 <input type = "file"
- 11. XPATH가 <script> 및</script> 태그없이 모든 태그 받기
- 12. jQuery를 제한 여기 <script>
- 13. 동적으로 작성하여 평가하기 <script>
- 14. <script> 태그가없는 JavaScript 코드 삽입
- 15. $. HTML <script 태그를 표시하지 못하게합니다. ReCaptcha.GetHtml
- 16. <script><asp : repeater> 내의 태그
- 17. 인터페이스 어댑터 <Type> - 인터페이스 <Subtype>
- 18. <button> 대 <input type = "image">
- 19. C에서 반환 된 HTML에서 <script></script> 블록을 제거합니다.
- 20. <script>의 변수를 다른 <script>에서 javascript로 어떻게 사용할 수 있습니까?
- 21. CodeIgniter의 XSS Protection은 사용자 입력으로부터 <script> 태그를 제거하고 있습니다 ... 그러나 나는 그것을 원하지 않습니다!
- 22. 배쉬 스크립트 : 이것은 무엇을 의미합니까? "done</ dev/null & disown"
- 23. <script> HTML 요소 제거
- 24. <script> 요소를 어떻게 처리 하시겠습니까?
- 25. ASP.NET의 <script> 태그는 얼마나 강력합니까?
- 26. <script> 태그 위치에 요소를 삽입하십시오.
- 27. 문자열 "</script>는"IE
- 28. "간부 소스 <script>"TCL
- 29. 혼합 유형 청소 <script> 태그
- 30. <script> 태그의 액세스 및 변경
나는 아무것도하지 않았다 ... http://stackoverflow.com/questions/2425328/what-is-the-waybest-practice-to-deal-with-xss를 보아라. –
나는하지 않았다. . Jeff Atwood와 Joel Spolsky가했습니다. – darioo
메신저 그냥 어떻게이 문제를 해결하지만 내가 빨리 논리를 찾은 것보다 대답을받는 undertand하려고. 나는 위험한 양식 텍스트에 대한 Asp.net 예외를 피하기 위해 escape() JavaScript 함수를 사용하고 HtmlEncode와 함께 UrlDecode를 사용하여 안전하게 텍스트를 표시한다고 가정합니다. 어쨌든 여러분은 사람들이 말하는 것보다 더 빠르다고 – cyberdantes