我对安全性并不是很好...所以只是想知道我是否在使用lightbox 2.6.1并且我有
编辑:示例显示静态,但实际上这个google.com链接来自mySQL数据库,我已经填充了与图像一起的链接(当用户上传他们的图像时,他们键入图像链接源中的IE)谷歌将取而代之。
<a href="uploads/image.jpg" data-lightbox="example-set" title="<a target='_self' href='http://www.google.com'>Google</a>">
<img src="uploads/image.jpg" alt="" />
</a>
是否可以执行XSS或任何形式的危险JavaScript?我问,因为我对这部分犹豫不决。
title="<a target='_self' href='http://www.google.com'>Google</a>"
答案 0 :(得分:0)
答案是“可能”。似乎HTML嵌入在HREF的“title”属性中,因此请确保您不会突破
title代码。href代码这完全取决于您使用哪种编码来插入值,但确保单独使用编码是安全的,因为您还要确保无法插入javascript: URL。 / p>
在将URL插入数据库之前,是否可以对URL执行任何验证?例如文件名只包含字母数字字符和扩展名前的一个点。
有关阻止XSS的更多信息,请参阅此处:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet