对于 XSS 防护,在填充进行编辑之前是否需要转义
我正在测试受感染的文本。
在显示模式下,我从数据库中获取数据并将其显示在页面上,并且按照预期得到了 XSS。
在编辑模式下,我使用与初始输入相同的表单,并将数据库中的值填充到输入字段(在本例中为文本区域),但我没有收到 XSS。这是正常的吗?由于文本显示在表单字段内,表单字段数据是否不易受到 XSS 影响?那么不需要我在正常显示中使用的 XSS 保护吗?
顺便说一句,我正在测试的具体 XSS 是这样的。我从第一个 黑客 的 XSS 备忘单中得到了它。
';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
I have an infected text that I'm testing with.
In display mode, I get the data from the database and display it on the page, and I get the XSS as expected.
In edit mode, I use the same form I used for initial entry and I populate the value from the database into the input fields (textarea in this case), but I'm not getting the XSS. Is this normal? Are form fields data not susceptible to XSS because the text is being displayed inside the form field? so no need for the XSS protection I use in normal display?
By the way, the specific XSS I'm testing with is this. I got it from the cheat sheet for XSS on hackers, the fisrt one.
';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
不,表单字段可能存在 XSS,因此您还需要对它们进行转义
模板示例:
值示例:
结果:
No, the form fields are suspectible for XSS, so you need to escape them as well
Template sample:
Value sample:
Result:
一个例子。
An example.