我正在尝试自动将进入 json 对象的 html 转义字符串。 simplejson 有 JSONEncoderForHTML这应该正是这样做的。这是它转义 html 的方式:
chunk = chunk.replace('&', '\\u0026')
chunk = chunk.replace('<', '\\u003c')
chunk = chunk.replace('>', '\\u003e')
1) 为什么使用这些代码而不是 cgi.escape 的 html 编码用途?
这是:
chunk = chunk.replace('&', '&')
chunk = chunk.replace('<', '<')
chunk = chunk.replace('>', '>')
他们每个人都说:
simplejson:要将 JSON 内容嵌入网页上的脚本标记中,字符 &、< 和 > 应该被转义。 它们不能用通常的实体(例如 &)转义,因为它们不会在标签内展开。
cgi.escape:将特殊字符“&”、“<”和“>”替换为 HTML 安全序列。
2) 粗体部分的真正含义是什么?
除了不理解这里的差异之外,我的问题的核心是 simplejson 方法让 XSS 发生,但是如果我进入它的 html 编码器并将替换调用更改为 cgi.escape 的调用,则没有 XSS。
鉴于此输入 {'label': 'XSS HERE"><script>alert(1)</script>'}
这是使用 simplejson.encoder.JSONEncoderForHTML 的输出:
{"label": "XSS HERE\"\u003e\u003cScript\u003eAlert(1);\u003c/Script\u003e"}
这是使用 simplejson.encoder.JSONEncoderForHTML 并更改 replace 中的代码的输出至 &等,如前所述:
{"label": "XSS HERE\"><Script>Alert(1);</Script>"}
它用于从 .js 脚本(不在 html 文件之间)自动完成:
return $('<a/>').attr('href', result.url)
.append($('<img>').attr('src', imageurl)
.addClass(image_class)
.after($('<span/>')
.addClass(label_class).text(result.label)));
result.label是键的值 'label' .
3) 那么,为什么我使用 simplejson 方法得到一个显示 1 的 javascript 警告,而使用 cgi.escape 转义却没有?
代码是否像\\u003c解码并视为 <人物?
为了提供更多上下文,这样我就不必在我的网络应用程序的每个 JSON 处理程序中都执行此操作并且可能忘记转义某些内容:
response = {'A': Escape(a), 'B': Escape(b)} # with many more variables here
return json.dumps(response)
4) 是否有一种替代方法可以自动转义 html 将在 json 中返回的内容?
对象的递归遍历 tornado.escape.recursive_unicode但是转义呢? 还有别的吗?
更新:这会发出警报,那么为什么要使用这种方法逃脱呢?
<div id="alert">a</div>
$("#alert").html("XSS HERE\"\u003e\u003cScript\u003ealert(1);\u003c/Script\u003e");
最佳答案
JSONEncoderForHTML 使 JSON 可以安全地嵌入 <script>标记,它不会执行您希望它执行的操作,并且没有合理的方法可以使用此库执行此操作。
关于javascript - 为什么用于 html 的 simplejson 编码器使用\\u0026 转义而不是 & 让 XSS 发生?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24443688/