代码之家  ›  专栏  ›  技术社区  ›  Ivan Grishaev

OWSP Java编码器:防止特定属性转义

owasp clojure java
  •  1
  • Ivan Grishaev  · 技术社区  · 6 年前

    我正在使用 Clojure's wrapper 关于OWSP Java编码器库。我准备了一个政策 src iframe 元素,如果它与某些regex模板匹配,例如YouTube或Vkontakte embedded iframes。

    src公司 值被转义,因此URL不起作用。这是一个例子。源HTML: 

    <iframe src='https://vk.com/video_ext.php?oid=-30493961&id=456241043&hash=a3148de1cd04c77b' width='640' height='360' frameborder='0' allowfullscreen></iframe>


    <iframe src="https://vk.com/video_ext.php?oid&#61;-30493961&amp;id&#61;456241043&amp;hash&#61;a3148de1cd04c77b"></iframe>

    我没有找到任何关于如何防止退货的文件 src公司 从逃逸中得到的值。我该怎么做?

    PS我的源代码: 

    ;; policy declaration
(html-policy
   :allow-elements ["iframe"] ;; a long vector here with other tags

   :allow-attributes
   ["src"
    :matching [#"(?i)\Qhttps://vk.com/video_ext.php\E.+"]
    :on-elements ["iframe"]]

   :allow-standard-url-protocols)

;; sanitation
(html-sanitize policy html-string)
    0 回复  |  直到 6 年前
    推荐文章
    Ted Yu  ·  用于OSWAP ESAPI的Sybase编解码器
    6 年前
    TEH EMPRAH  ·  ZAP不断扫描不必要的URL
    7 年前
    MADCookie  ·  ServiceStack元数据页上的链接是否应该编码?
    7 年前
    Shubham Jain  ·  如何使用命令行操作(即Jenkins)自动运行owsap zap
    7 年前
    dangel  ·  Modsecurity-“主机头是数字IP地址”错误的重定向循环
    8 年前
    hina10531  ·  检查所有参数以防止注射攻击是一种好的做法吗?
    9 年前
    Blanca Hdez  ·  重写ESAPI OWASP方法java
    12 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号