我试图自动将html转义字符串转换成json对象。simplejson有JSONEncoderForHTML,它应该正是这样做的。这就是它如何跳出html:
chunk = chunk.replace('&', '\\u0026')
chunk = chunk.replace('<', '\\u003c')
chunk = chunk.replace('>', '\\u003e')
即:
^{pr2}$每一个都声明:
simplejson:要将JSON内容嵌入web页面上的脚本标记中,应转义字符&;、<;和gt。它们不能用通常的实体(例如&;)转义,因为它们没有在标记内展开。
在cgi.逃逸:将特殊字符“&;”、“<;”和“>;”替换为HTML安全序列。
除了不理解这里的区别之外,我的问题的核心是simplejson方法允许XSS发生,但是如果我进入它的html编码器并将replace调用更改为cgi.逃逸,没有XSS。在
给定此输入{'label': 'XSS HERE"><script>alert(1)</script>'}
以下是输出simplejson.encoder.jsonecoderforhtml公司名称:
{"label": "XSS HERE\"\u003e\u003cScript\u003eAlert(1);\u003c/Script\u003e"}
以下是输出simplejson.encoder.jsonecoderforhtml以及将replace
中的代码改为&
等,如前所述:
{"label": "XSS HERE\"><Script>Alert(1);</Script>"}
它用于从.js脚本(而不是html文件中的中间脚本)中自动完成,该脚本包含:
return $('<a/>').attr('href', result.url)
.append($('<img>').attr('src', imageurl)
.addClass(image_class)
.after($('<span/>')
.addClass(label_class).text(result.label)));
result.label
是键'label'
的值。在
像\\u003c
这样的代码是否被解码并视为<
字符?在
为了提供更多的上下文,我不必在我的web应用程序的每个JSON处理程序中都这样做,并且可能会忘记对某些内容进行转义:
response = {'A': Escape(a), 'B': Escape(b)} # with many more variables here
return json.dumps(response)
像tornado.escape.recursive_unicode一样的对象递归遍历,但是使用转义? 还有别的事吗?在
更新:这将发出警报,那么为什么要使用此方法进行逃逸?在
<div id="alert">a</div>
$("#alert").html("XSS HERE\"\u003e\u003cScript\u003ealert(1);\u003c/Script\u003e");
JSONEncoderForHTML使JSON可以安全地嵌入到
<script>
标记中,它不能执行您希望它做的事情,并且没有合理的方法来使用这个库。在相关问题 更多 >
编程相关推荐