当前位置：文江博客话题详情

哪些 Unicode 字符是危险的？

发布于 2024-12-13 14:41:07 字数 104 浏览 3 评论 0原文

哪些 Unicode 字符（更准确地说是代码点）是危险的，应该列入黑名单并禁止用户使用？我知道 BIDI 覆盖字符和“零宽度空格”很容易出现问题，但是还有其他什么问题吗？

谢谢

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

带刺的爱情 2024-12-20 14:41:07

角色并不危险：只有不恰当的使用它们才是危险的。

您可能会考虑阅读以下内容：

不可能猜测您所说的危险是什么意思。

回复收藏 0 原文

人生百味 2024-12-20 14:41:07

安全性的黄金法则是白名单而不是黑名单，而不是试图覆盖所有坏字符，最好是在确保用户只使用已知的好字符的基础上进行验证。

有一些解决方案可以帮助您构建国际白名单所需的大型白名单。例如，在 .NET 中，有 UnicodeCategory。

这个想法是，图书馆不是将数千个单独的字符列入白名单，而是将它们分配到字母数字字符、标点符号、控制字符等类别中。

白名单教程.NET 中的国际字符

Unicode 正则表达式：类别

回复收藏 0 原文

独木成林 2024-12-20 14:41:07

'HANGUL FILLER' (U+3164)

自 1993 年 Unicode 1.1 起，就出现了一个空的宽零空格字符。

我们看不到它，也不能单独复制/粘贴它，因为我们无法选择它！

它需要通过 unix 键盘快捷键生成：CTRL + SHIFT + u + 3164

It 几乎可以

'HANGUL FILLER' (U+3164)

Since Unicode 1.1 in 1993, there is an empty wide, zero space character.

We can't see it, neither copy/paste it alone because we can't select it!

It need to be generated, by the unix keyboard shortcut: CTRL + SHIFT + u + 3164

It can pretty much ???? up anything: variables, function name, url, file names, mimic DNS, invalidate hash strings, database entries, blog posts, logins, allow to fake identical accounts, etc.

DEMO 1: Altering variables

The variable hijacked contains a Hangul Filler char, the console log call the variable without the char:

const normal = "Hello w488ld"
const hijaㅤcked = "Hello w488ld"
console.log(normal)
console.log(hijacked)

DEMO 2: Hijack URL's

Those 3 url will lead to xn--stackoverflow-fr16ea.com:

https://stackㅤㅤoverflow.com

https://stackㅤㅤoverflow.com

https://stackㅤㅤoverflow.com

回复收藏 0 原文

如痴如狂 2024-12-20 14:41:07

请参阅Unicode 安全注意事项报告。

它涵盖了各个方面，从渲染字符串的欺骗到以不安全语言处理 UTF 编码的危险。

回复收藏 0 原文

辞别 2024-12-20 14:41:07

U+2800 盲文图案空白 - 不带任何“点”的盲文字符。它看起来像一个常规的“空间”，但不属于其中。

回复收藏 0 原文

~没有更多了~

关于作者

谁对谁错谁最难过

暂无简介

文章

26 人气

关注发私信

尘曦

文章 0 评论 0

关注

在梵高的星空下

文章 0 评论 0

关注

善良天后

文章 0 评论 0

关注

韬韬不绝

文章 0 评论 0

关注

qq_CgiN62

文章 0 评论 0

关注

不美如何

文章 0 评论 0

友情链接

文江博客

哪些 Unicode 字符是危险的？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

关于作者

相关话题

热门标签

推荐作者

尘曦

在梵高的星空下

善良天后

韬韬不绝

qq_CgiN62

不美如何

友情链接

哪些 Unicode 字符是危险的？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

关于作者

相关话题

热门标签

推荐作者

尘曦

在梵高的星空下

善良天后

韬韬不绝

qq_CgiN62

不美如何

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。