这是一个创建于 3321 天前的主题,其中的信息可能已经有所发展或是发生改变。
在 WEB 项目里用 HTMLParser 实现了一个 HTMLPurifier 来过滤不安全的 HTML 代码,由于 HTMLParser 的 unescape 函数在处理&#;转义时和浏览器不一致,导致可以绕过 HTMLPurifier 来注入 XSS 代码。
HTMLParser 对『:』这类 HTML Entities 要求必须是『;』结尾的。而主流浏览器允许没有『;』
如下代码:
<a href="javascript&58alert()">XSS</a>
对浏览器来说等同于:
<a href="javascript&58;alert()">XSS</a>
而 HTMLParser 的 unescape 就无法处理『&58 』的转义。
差点踩着坑。
想问问 Python 下有没有靠谱的 HTMLPurifier 组件?还有类似的 XSS 的坑还有那些?
1 条回复 • 2015-10-23 17:21:03 +08:00
|
|
1
winkidney 2015-10-23 17:21:03 +08:00
你搜搜 html escape ,有各种现成的库, django 也自带,各种框架应该都有实现
|