我有一些用户输入。在我的代码中,我确保对以下符号进行转义:
& -> & < -> < > -> >
OWASP指出还有更多的字符可以转义。
对于属性,我做了另一种转义:
& -> & " -> "
这样可以确保所有属性都用“括起来。”这样就可以确定自己的html属性,而不是HTML本身。
我也使用OWASP(ESAPI)库,以转义不同显示类型的字符串,请使用:
String html = ESAPI.encoder().encodeForHTML("hello < how > are 'you'"); String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello < how > are 'you'"); String js = ESAPI.encoder().encodeForJavaScript("hello < how > are 'you'");
HTML(假设为jsp)
<tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>
更新 ( 2017 )
由于ESAPI编码器被认为是旧版,因此已经创建了一个更好的替代方案,并且正在积极维护中,我强烈建议改用OWASP Java编码器。
如果您的项目已经使用ESAPI,则添加了集成,您可以使用该库进行编码。
ESAPI
其用法已在其Wiki页面上进行了说明,但是为了完整起见,这是您可以使用它来对数据进行上下文编码的方式:
// HTML Context String html = Encoder.forHtml("u<ntrus>te'd'"); // HTML Attribute Context String htmlAttr = Encoder.forHtmlAttribute("u<ntrus>te'd'"); // Javascript Attribute Context String jsAttr = Encoder.forJavaScriptAttribute("u<ntrus>te'd'");
<div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')"> <%= html %> </div>
PS: 存在更多上下文,并且库支持
