哪个XSS OWASP规则 [英] Which XSS OWASP Rule

问题描述

使用OWASP核对表，这是正确的方法来保护这种情况吗？这是一个javascript字符串中的url，其中url参数需要具有xss保护。

Using the OWASP checklist, which is the correct way protect this situation? This is url inside of a javascript string where a url parameter needs to have xss protection.

问题：

<script>
    var u = 'xyz.html?x=<% url.baddata %>'  
    dosomeAjax(u);
</script>

可能的解决方案1：

var u = 'xyz.html?x=<% encodeForURL(url.baddata) %>'

可能的解决方案2：

var u = 'xyz.html?x=<% encodeForJavaScript(url.baddata) %>'  

可能的解决方案3：

var u = 'xyz.html?x=<% encodeForJavaScript(encodeForURL(url.baddata)) %>'  

推荐答案

应使用解决方案3：

//solution 3:
var u = 'xyz.html?x=<% encodeForJavaScript(encodeForURL(url.baddata)) %>';

如果我们将表达式重写为：

It is easier to see that this is correct if we rewrite the expression as:

var u = '<% encodeForJavaScript("xyz.html?x=" + encodeForURL(url.baddata)) %>';

首先，我们通过附加 baddata 到一个字符串常量，使用适当的转义函数。然后我们将这个安全的URL放在JavaScript字符串中，因此我们必须调用JavaScript转义函数。

First, we are creating a safe URL by appending baddata to a string constant, using the appropriate escape function. Then we are taking that safe URL and placing it in a JavaScript string, so we have to call the JavaScript escape function.

这篇关于哪个XSS OWASP规则的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！