不受信任的数据和 XSS
Untrusted data and XSS
我正在阅读有关 XSS 预防的文章,并将 运行 保留为短语不受信任的数据。我理解 URL 参数、表单字段和 cookie 的含义。但是我不明白它在下面的上下文中是什么意思。
例如,document I am reading 列出了一些这样的示例:
<script>...NEVER PUT UNTRUSTED DATA HERE...></script> directly in a script
<!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment
<div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name
<NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name
<style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
他们谈论的是什么类型的不受信任的数据?我不明白。我对本地 javascript 文件或对 CDN 站点的 links 使用脚本标签。我使用注释标签来描述代码中的某些内容。当我将 link 地址放入锚标记时,我知道 link 的去向。属性名称中的不受信任数据?我用 Google 搜索了这些,但一直找不到任何可以消除我的困惑的东西。
对于不受信任的数据,它们是指来自用户或您无法控制的其他不受信任来源的数据。
典型示例是 url 结尾:/index.php?name=joe
然后将 url 参数回显到页面中:
我正在阅读有关 XSS 预防的文章,并将 运行 保留为短语不受信任的数据。我理解 URL 参数、表单字段和 cookie 的含义。但是我不明白它在下面的上下文中是什么意思。
例如,document I am reading 列出了一些这样的示例:
<script>...NEVER PUT UNTRUSTED DATA HERE...></script> directly in a script
<!--...NEVER PUT UNTRUSTED DATA HERE...--> inside an HTML comment
<div ...NEVER PUT UNTRUSTED DATA HERE...=test /> in an attribute name
<NEVER PUT UNTRUSTED DATA HERE... href="/test" /> in a tag name
<style>...NEVER PUT UNTRUSTED DATA HERE...</style> directly in CSS
他们谈论的是什么类型的不受信任的数据?我不明白。我对本地 javascript 文件或对 CDN 站点的 links 使用脚本标签。我使用注释标签来描述代码中的某些内容。当我将 link 地址放入锚标记时,我知道 link 的去向。属性名称中的不受信任数据?我用 Google 搜索了这些,但一直找不到任何可以消除我的困惑的东西。
对于不受信任的数据,它们是指来自用户或您无法控制的其他不受信任来源的数据。 典型示例是 url 结尾:/index.php?name=joe 然后将 url 参数回显到页面中: