Se inserisco dati non fidati in un attributo HTML come questo:
<img src="http://www.mydomain/<%untrusted_data%>">eseIcodiceHTMLcodificail" accedi ai dati non attendibili, questo particolare codice è completamente protetto da XSS? So che dovrei fare attenzione a non consentire all'utente di inserire l'intero URL perché quindi potrebbero inserire javascript:alert() .
Sì, se l'attributo è double quoted e stai codificando il carattere di virgoletta doppia, non dovrebbe essere possibile sfuggire all'attributo quotato.
Tuttavia, vorrei anche codificare il simbolo & perché può essere usato per avviare un carattere codificato in sé.
Gli stati delle specifiche HTML5 :
A double-quoted attribute value is specified by providing the following parts in exactly the following order:
- an attribute name
- zero or more space characters
- a single "=" character
- zero or more space characters
- a single """ character
- an attribute value
- a """ character
In addition to the general requirements for attribute values, a double-quoted attribute value has the following restriction:
must not contain any literal """ characters
Leggi altre domande sui tag xss