javascript - 可以将相同的编码用于 HTML 属性和内容清理吗?
问题描述
在我的 JS 应用程序中,我必须防止 OWASP Anti XSS 备忘单中提到的前 2 条规则:
规则1:
<body>
...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...
</body>
规则 2
<div attr="...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">content
根据指南,对于规则 1,应编码以下字符 &'"<>。
因此,如果我有以下编码功能,这应该就足够了,不是吗?
.replace(/&/g, '&')
.replace(/'/g, ''')
.replace(/"/g, '"')
.replace(/</g, '<')
.replace(/>/g, '>')
在这两种情况下,我可以使用这种编码来保护应用程序吗(即使对于规则 2,只有引号就足够了,对吗?)?
解决方案
推荐阅读
- flutter - 颤振下拉列表 - 检索选定的值而不是框格式
- mysql - 加入两个加入?
- python - Anaconda Jupyter 没有被 cmd 和 Anaconda Navigator 打开
- spring-boot - 不允许使用不同通道的两个队列管理器
- reactjs - 如何测试作为道具开玩笑酶 ReactJS 传递的字符串
- google-cloud-platform - 如何在 Google Cloud Build 中使用 PNPM?
- apache-spark - 是否可以在火花中加入 TempView,因为它正在抛出无法解决符号错误
- javascript - 无法使用 express-unless 免除一些路由的身份验证
- c - 检查 docker alpine musl 版本
- java - 在 EditText 中键入时为文本添加下划线 - Android