Il contenuto in blocchi noscript deve essere evaso

10

Il titolo dice quasi tutto. Sembra controproducente sfuggire all'interno di un blocco <noscript> perché qualsiasi j che un utente malintenzionato è in grado di immettere non dovrebbe essere eseguito. Ma, sono ancora abbastanza nuovo in questo, quindi ho pensato che sarebbe stato prudente chiedere.

Per chiarezza, questo è il contesto di cui sto parlando:

<noscript>
<img src="<?php echo 'Should I escape this url' ?>" />
</noscript>
    
posta Dominic P 13.01.2014 - 20:52
fonte

1 risposta

16

Sì. Dovresti sempre sfuggire a dati non fidati. Ecco un attacco per il tuo snippet (pseudocodice):

<noscript>
<img src="<?php echo 'you should always escape everything, 
                dependeing on the context. This context is url in an attribute, 
                you should escape it appropriately. otherwise " />
                </noscript> 
                <script>alert("you will be vulnerable")</script><noscript><img "' ?>" />
</noscript>
    
risposta data 13.01.2014 - 21:09
fonte

Leggi altre domande sui tag