Play框架中正确转义的指南

黄泰宁

2023-03-14

问题内容：

我正在尝试绘制Play框架如何支持转义。

这是一个很好的页面，阐明了所需的功能：https
:
//www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

因此，我尝试将其与Play模板功能相关联，并充分了解Play的功能和不功能。

HTML转义：${}或escape()函数
属性转义：我找不到内置解决方案
JavaScript转义：有一个escapeJavaScript() http://www.playframework.org/documentation/1.2/javaextensions
CSS转义：我找不到内置的解决方案
网址转义：没有任何特殊的内置功能，而是常用的Java解决方案，例如Java是否等效于JavaScript，其JavaScriptURIComponent产生相同的输出？ -更新：http ://www.playframework.org/documentation/1.2/javaextensions中有urlEncode（）

另一个困惑点是对它的支持index.json（即使用模板而不是HTML来构建JSON）。是${}魔术切换到JSON文档中转义的JavaScript，还是仍逃脱HTML，因此JSON模板中的所有内容都必须具有显式的escapeJavaScript()？

在http://www.playframework.org/documentation/1.2/javaextensions上也有一个addSlashes（），但是对于我能想到的任何情况似乎都不是很正确。（？）

拥有关于如何实现Play中所有转义功能的详尽指南，将是很棒的。在我看来，在某些情况下，答案是“自己动手”，但也许我错过了其中的内容。

问题答案：

我一直在研究这个问题，因此决定根据您已经拥有的内容，这份OWASP速查表和我自己的一些实验来写出自己的答案

HTML转义：

属性转义：（常见属性）

只要您将属性用双引号（“）括起来并使用$ {}，就可以在游戏中进行处理。
对于复杂的属性（href / src / etc），请参见下面的JavaScript
不安全代码示例
- <a id=${data.value} href="...">...</a>
- <a id='${data.value}' href="...">...</a>
这将破坏data.value的内容：
- % href=javascript:alert('XSS')
- %' href=javascript:alert(window.location)

JavaScript转义：（以及复杂的属性）

使用escapeJavaScript（）。http://www.playframework.org/documentation/1.2/javaextensions
不安全代码示例
- <a onmouseover="x='${data.value}'; ..." href="...">...</a>
这将破坏data.value的内容：
- '; javascript:alert(window.location);//

CSS转义：

网址转义：