Comment résolvez-vous ce Xss à partir de Stackoverflow?<script type = "text/javascript"> alert ('Xss fait');</script>
Répondre
La sortie est codée en html.
Toutes les entités html sont remplacées par leurs caractères d'échappement, par exemple "<" est remplacé par <
.
Plus d'info sur wikipedia ainsi qu'une liste de caractères html, http://en.wikipedia.org/wiki/Character_encodings_in_HTML
http://www.htmlescape.net/htmlescape_tool.html Voici un outil qui illustre exactement cela. – charisis
Jeff fait posté son Sanitizer sur RefactorMyCode.com
Vous pouvez le voir here. Ce n'est peut-être pas la version finale qu'ils utilisent actuellement, mais elle vous montrera les bases de son fonctionnement.
Cet assainisseur supprime les étiquettes non-blanches de l'entrée. Cela ne peut pas être le cas avec ce titre de la question, qui a été codé en HTML pour préserver la sortie d'origine. –
- 1. Qu'est-ce que <script type = "text/javascript"><!--mce:0--></script>?
- 2. <script type = "text/javascript">
- 3. Que fait (1U << X) faire?
- 4. <script> ou <noscript>?
- 5. Clôture <script>
- 6. Que fait <() dans Bash?
- 7. PHP en HTML <Script>
- 8. html valide - '<' or '>' entre <script> balises
- 9. Remplace: < and > avec <et> assez pour empêcher l'injection de XSS?
- 10. <%: %> vs Microsoft la bibliothèque anti XSS
- 11. Echappement d'un <? Php et <? dans un script PHP
- 12. document.write ('<scr' + 'ipt src = vs <script src =
- 13. est la différence entre courir <script></script> et function() javascript?
- 14. opérateur <<: std :: cout << i << (i << 1);
- 15. opérateur stringstream << pour un type de modèle
- 16. IList <Type> à IList <BaseType>
- 17. Que fait <h:messages> dans JSF?
- 18. Que fait l'opérateur MySQL <=>?
- 19. Que fait l'opérateur <> en python?
- 20. flux << set_of_dices.dies [die] .getStringRow (ligne) << "";
- 21. Comment obtenir 'texte' de <p>texte <input type = » ...</p>
- 22. Comment trouver <script> par l'ID
- 23. Comment récupérer le contenu de <script src = "myscript.ms"></script>
- 24. différence entre document.ready() fonction interne et une fonction dans <script></script> tag
- 25. self.class_eval << DEF ... DEF
- 26. Tortoise svn ajoutant <<<< aux fichiers!
- 27. <% $, <% @, <% =, <% # ... quel est le problème?
- 28. modèle de boîte entre Incohérence <input type = "submit" /> et <input type = "text" />
- 29. MySQL/Java définir <type> et obtenir <type> Quels types fonctionnent mieux?
- 30. Php que signifie <<<?
Je n'ai rien fait ... jetez un oeil à http://stackoverflow.com/questions/2425328/what-is-the-waybest-practice-to-deal-with-xss –
Je ne l'ai pas fait . Jeff Atwood et Joel Spolsky l'ont fait. – darioo
Im juste essayant de comprendre comment SO résoudre ce problème, mais je reçois la réponse plus tôt que j'ai trouvé la logique. Je suppose qu'ils utilisent la fonction javascript escape() pour éviter l'exception Asp.net pour le texte de formulaire dangereux, puis utiliser UrlDecode avec HtmlEncode pour présenter le texte de manière sûre. Merci de toute façon vous êtes plus rapide que les gens utilisent pour dire – cyberdantes