在Javascript中使用ESAPI处理HTML和Javascript编码的数据
例如,
var data = $ESAPI.encoder().canonicalize(serverOP);
element.innerHTML=data;
但是使用混合或多重编码规范数据会引发异常(入侵异常)。
共有1个答案
在这种情况下,服务器首先中和HTML,然后中和要传递给javascript函数的数据。
您所针对的javascript函数是否应该处理HTML?
如果先为HTML编码,然后再为javascript编码,则需要调用esapi.encoder().decodeforJavaScript(payload)后跟esapi.encoder().decodeforhtml(payload)
规范化是用来处理来自不可信源的数据,而不是一站式解码功能。
此外,如果您知道您的javascript函数是该数据的唯一入口点,您就不必转义为html,只需转义为javascript...我这样说是因为“innerhtml”表明您打算让浏览器呈现您发送的内容,所以您在这里添加了一个不必要的解码步骤,从而做了额外的工作。
我想补充一点:如果服务器正在传递要传递给javascript的转义数据,那么在使用它之前您不想对其进行解码。
-
在其他一些论坛中,提到使用HTML消毒剂。什么是正确的方法,请…
-
问题内容: 我在允许用户输入内容的CMS中工作。问题在于,当他们添加符号时,它可能无法在所有浏览器中正常显示。我想设置一个必须搜索的符号列表,然后将其转换为相应的html实体。例如 ®=> &=> ©=> ™=> 转换后,需要将其包装在标签中,从而导致: => 由于必须使用特定的字体大小和填充样式: JavaScript会是这样吗? “ [?]”的意思是说我不确定。 额外细节: 我想使用纯Java
-
为了防止SQL注入,OWASP对接收到的字符进行编码。下面是为org.owasp.esapi.codecs.OracleCodec.java类实现的代码 以上对预防SQL注入有什么帮助?请解释一下。
-
我试图防止CRLF注入(在用户输入很少的url中),并试图对url中的用户输入进行编码。我知道我也可以使用输入验证,但如果我使用ESAPI编码器,它是否有相应的解码器?如果它有,那么它是什么?如果不是,那么可以做什么来执行相同的编码和解码?
-
问题内容: 我想使用JavaScript来操纵CSS。首先,它被认为是一个不错的小脚本,可以为我的手风琴菜单尝试不同的颜色,以及来自输入字段的不同背景/标题/内容-/ …背景颜色。 我了解如何使用js获取输入值。 我了解CSS是通过使用操作,,,和。 现在,问题是我的CSS看起来像这样: 如何使用JavaScript更改此类样式的属性? 问题答案: 无法使用JavaScript直接操作某些CSS样
-
我已经看到了许多堆栈溢出的答案,但它们没有在标准库中提供完整的规范化/编码解决方案,我可以编写静态测试,以确保开发人员正在使用该库。 是否有一个esapi或类似的“轻”库,我可以只用于JavaScript? 我已经看到了OWASP Esapi和jQuery编码器插件https://github.com/chrisisbeef/jquery-encoder和SalesForce编码器https://