如何解决GWT SafeHTML,XSS和最佳实践
| OWASP的好人强调,对于将不受信任的数据(正文,属性,JavaScript,CSS或URL)放入HTML文档的一部分,必须使用转义语法。请参阅OWASP-XSS。他们的API(由ESAPI团队开发)随后针对每个上下文使用了编码器来满足此要求:
ESAPI.encoder().encodeForHTML(\"input\");
ESAPI.encoder().encodeForHTMLAttribute(\"input\");
ESAPI.encoder().encodeForJavaScript(\"input\");
ESAPI.encoder().encodeForCSS(\"input\");
ESAPI.encoder().encodeForURL(\"input\");
随后,这使开发人员可以迎合基于DOM的XSS。
因此,我的问题是GWT的safehtml包如何满足此要求,还是仅专注于HTML编码?
解决方法
SafeHtmlTemplates
会这样做(尽管仅客户端,因为它依赖于GWT生成器)。它将使用\“ tag汤\\”解析器解析HTML片段,该解析器将推断上下文,并在该参数不能在该上下文中使用的情况下记录警告或抛出警告(例如,它禁止在其中使用占位符)脚本上下文)。尽管这仍在不断变化中(SafeUri
仍在审查中,SafeStyles
仍受到严格限制),但它将在适当的时候出现(我认为应该在GWT 2.4中)。
除此以外:
SafeHtmlUtils
将转义所有<
,>
,&
,\'
和ѭ9escape,因此结果对于\“ HTML \”和\“ HTML attribute \”上下文是安全的
SafeHtmlBuilder
的各种添加方法将在后台调用SafeHtmlUtils
UriUtils
提供了清理不安全URI的工具(如果您要构建HTML字符串,则仍然需要SafeHtmlUtils
通过或同等的功能-与直接将值用于图片来源或锚点的href– )。
SafeStyles
本身并没有提供任何特定的内容,但是ѭ1only只会在CSS上下文的开头允许它,并且如果您尝试在CSS上下文中放置其他内容,则会记录一条警告。 16ѭ有望通过类型安全的方法进行扩展,以帮助构建格式良好的CSS。
我一直在使用类似于SafeStyles
的SafeUri
接口,但是在URL上下文中。在适当的时候,SafeHtmlTemplates
将只允许SafeUri
或a21ѭ作为URL属性的完整值,并通过UriUtils
传递String
以确保其安全。
简而言之,我认为您的问题的答案是:是的,GWT的safehtml软件包可以满足此要求;但为了安全起见,您可能必须始终使用最新版本的GWT(至少在明年使用)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。