.setinterval 和 XSS [英] .setinterval and XSS

查看:45
本文介绍了.setinterval 和 XSS的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

OWASP XSS 预防备忘单 中,它说不受信任的数据不能安全地放在 .setinterval JS 函数中.即使被转义/编码,XSS 仍然是可能的.

In the OWASP XSS prevention cheat sheet it says that untrusted data cannot be safely put inside the .setinterval JS function. Even if escaped/encoded, XSS is still possible.

但是如果我有这样的事情:

But if I have something like this:

setInterval(function(){ alert('<%=UNTRUSTED_DATA%>'); }, 3000);

如果我用 JS 编码UNTRUSTED_DATA",XSS 怎么可能?

And if I JS encode "UNTRUSTED_DATA", how would XSS be possible?

推荐答案

有一个 setInterval 的重载,它接受一串代码而不是一个函数,它基本上是一个区间上的 exec.

我相信这就是 OWASP 备忘单所指的内容,您可以将不受信任的字符串放入该重载中.您正在使用函数重载,这不是 OWASP 调用的那个.

I believe that is what the OWASP cheat sheet is referring to, you can put untrusted strings in that overload. You are using the function overload, which is not the one OWASP is calling out.

这篇关于.setinterval 和 XSS的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!

查看全文
相关文章
其他开发最新文章
热门教程
热门工具
登录 关闭
扫码关注1秒登录
发送“验证码”获取 | 15天全站免登陆