HTML-Entité s'échapper pour prévenir les attaques de type XSS

J'ai quelques entrées de l'utilisateur. Dans mon code, je veille à ce que les symboles suivants sont échappés:

& -> & 
< -> &lt; 
> -> &gt;

OWASP affirme qu'il y a plus de caractères à échapper.

Pour les attributs, je fais un autre type d'échappement:

& -> &amp; 
" -> &quot;

Cela garantit que tous les attributs sont encadrés par des ". Cela me fait sûr de mon html attributs, mais pas sur le HTML lui-même.

Je me demande si mon échappement est suffisante. J'ai lu ce post, mais je ne suis pas encore sûr de mon inquiétude.

(JavaScripts sont échappés avec l'OWASP-Bibliothèque)

  • ' -> &apos; et % -> &perc; (pour les XSS, codage de caractères par %34 etc.)
  • Dans ce cas, serait de remplacer % par &perc; utile?
  • &perc; est en effet de moins en moins utile contre les XSS, mais il peut masquer les url. Les navigateurs ne prennent pas un % de code pour son char, c'est à dire: <a href="%6Aavascript:alert('hi')"> n'invoque pas le javascript.
InformationsquelleAutor Christian Kuetbach | 2012-01-18
  1. 31

    - Je utiliser l'OWASP (ESAPI) de la bibliothèque ainsi, pour échapper à des chaînes pour les différents types d'affichage, utilisez :

    String html = ESAPI.encoder().encodeForHTML("hello < how > are 'you'");
String html_attr = ESAPI.encoder().encodeForHTMLAttribute("hello < how > are 'you'");
String js = ESAPI.encoder().encodeForJavaScript("hello < how > are 'you'");

    HTML (à supposer jsp)

    <tag attr="<%= html_attr %>" onclick="alert('<%= js %>')"><%= html %></tag>

    Mise à jour (2017)

    Comme ESAPI Encodeurs sont considérés comme héritage, une meilleure alternative a été créé et est activement maintenu, je vous recommande fortement de l'aide de l' OWASP Codeur Java à la place.

    Si votre projet utilise déjà ESAPI, un l'intégration a été ajoutée pour vous permettre d'utiliser cette bibliothèque pour le codage de la place.

    L'usage est expliqué sur leur page wiki, mais pour le bien de l'achèvement, c'est comment vous pouvez l'utiliser pour contextuellement l'encodage de vos données:

    //HTML Context
String html = Encoder.forHtml("u<ntrus>te'd'");

//HTML Attribute Context
String htmlAttr = Encoder.forHtmlAttribute("u<ntrus>te'd'");

//Javascript Attribute Context
String jsAttr = Encoder.forJavaScriptAttribute("u<ntrus>te'd'");

    HTML (à supposer jsp)

    <div data-attr="<%= htmlAttr %>" onclick="alert('<%= jsAttr %>')">
    <%= html %>
</div>

    PS: de plus de contextes existent et sont pris en charge par la bibliothèque

    • Comme je l'ai mentionné, j'utilise l'OWASP pour échapper à Javascript-les Chaînes de caractères. Mais j'ai un code existant, qui est produite par apache cocoon. Ce code est en train de faire échapper comme je l'ai décrit. Ma question est: Est-ce que l'évitement est-elle suffisante? Si non (et seulement si pas d'), je vais avoir à modifier ~200 XSL-Stylesheet ligne par ligne.
    • à mon humble avis, je ne pense pas que c'est suffisant, il suffit de cocher ce site (ha.ckers.org/xss.html) vous pouvez déjà déterminer que votre échappement n'est pas suffisant
    • Merci pour cette ressource.
    • ne fait que répondre à votre question?
    • Je pense que mon échappement devrait être suffisant. Les attributs et les Javascripts sont échappés comme décrit à l'OWASP. Seulement à l'intérieur du pur HTML, mon échappement est moins dur que l'OWASP dit qu'il devrait être. Mais à ha-ckers.org je ne peux pas la fin de tout HTML-Corps uniquement XSS sorcière woul travail si < et > sont échappés.
    • 2014/2015 mise à Jour: je vous recommande fortement de l'utilisation de ce comme une référence pour éviter les attaques XSS. C'est par l'OWASP les gens ainsi: owasp.org/index.php/...
    • oui, je suis en train de lire maintenant. puis-je vous poser une question au sujet de cet article?. il dit à échapper les caractères suivants. & --> &amp; < --> &lt; > --> &gt; "--> &quot; ' --> &#x27; / --> &#x2F; j'utilise htmlspecialchars($string, ENT_QUOTES) pour ce faire, mais il n'est pas de s'échapper de la / dois-je le faire manuellement? merci pour l'aide
    • ESAPI est une bibliothèque open source qui fournit une fonction qui est plus sûr que d'utiliser htmlspecialchars(). Leur exemple dans le lien que j'ai posté est: String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );
    • Cool merci. donc je pourrais utiliser à la place.. Est-il le dernier fichier zip ici (sorti en septembre 2013) que je dois télécharger?.. merci code.google.com/p/owasp-esapi-java/downloads/list
    • passons à ma question. J'ai été à la recherche pour le javascript et je l'ai trouvé ici: code.google.com/archive/p/owasp-esapi-js/downloads pour quelqu'un d'autre qui est à la recherche... merci
    • Je WillieScholtz, je suis passé par votre solution de son très utile, mais dans mon cas, je suis directement faire attribut encding d'attribut de niveau dans ma jsp comme <input id="rlv" type="text" name="releaseVersion" maxlength="250" size="25" value="<%=$ESAPI.encoder().encodeForHTMLAttribute(request.getAttribute("relV"))%>" style="font-size:12px;font-family:arial,helvetica,sans-serif;" onkeyup = "releaseVersionSearch();" onblink="releaseVersionSearch();" class="modulecontent" /> quand je fais comme ça ma page ne se charge pas sur navigateur
    • Et dans le navigateur sur l'onglet console, j'ai pu voir cette erreur net::ERR_INCOMPLETE_CHUNKED_ENCODING peut s'il vous plaît aidez-moi ce que je fais erreur ici ? Ty.
    • il serait préférable de poser une nouvelle question
    • Assurez-Vous Que Willie Schotz. Permettez-moi de créer une nouvelle question pour cela. Ty.

    InformationsquelleAutor epoch
  2. 2

    Je vous recommande d'utiliser Appache Commune Lang bibliothèque pour échapper à cordes, par exemple pour échapper HTML: 

    String escapedString = org.apache.commons.lang.StringEscapeUtils.escapeHtml(String str);

    la bibliothèque a de nombreuses méthodes utiles pour échapper au format HTML, XML, Javascript.

    • Je ne pense pas que le commun lang lib est testé pour délibérément malveillants d'entrée de la même manière que ESAPI est.
    • En fait, StringEscapeUtils n'échappe pas à une seule citation ' en &apos;, de sorte qu'il n'est pas adapté pour le HTML s'échapper pour prévenir les attaques de type XSS
    InformationsquelleAutor e-zinc