XSS - 编码 - 解码href / url

时间:2015-08-20 06:56:25

标签: java jsp xss cq5

我有一个用例,我有一个文本输入字段,它接受URL并保存它。 保存的URL用于jsp文件

<script type="text/javascript">
    var defaultSimulatorUrl = '<%= defaultSimulatorUrl %>';
</script>

变量defaultSimulatorUrl用于显示预填充文本输入字段

某些攻击者可以通过发送 http://abcxyz.com?a=b&c=d' ;;alert(1); //

脚本内容将转换为

<script type="text/javascript">
    var defaultSimulatorUrl = 'http://abcxyz.com?a=b&c=d';alert(1);//';
</script>

我的问题是如果我使用 com.adobe.granite.xss.XSSAPI.encodeForHTML()对此Url进行编码,我如何在输入字段中显示orignal url

或者我可以通过其他方式对其进行编码,以便在预填充文本输入字段中使用

XSSAPI不提供api来解码字符串

1 个答案:

答案 0 :(得分:0)

我使用了XSSAPI的encodeForJS方法解决了我的问题

相关问题
最新问题