为 HTML 属性上下文编码不受信任的数据的正确方法是什么?例如:
<input type="hidden" value="<?php echo $data; ?>" />
我通常使用 htmlentities() 或 htmlspecialchars() 来执行此操作:
<input type="hidden" value="<?php echo htmlentities($data); ?>" />
但是,我最近遇到了一个问题,当我需要传递的数据是一个需要传递给 JavaScript 以更改页面位置的 URL 时,这会破坏我的应用程序:
<input id="foo" type="hidden" value="foo?bar=1&baz=2" />
<script>
// ...
window.location = document.getElementById('foo').value;
// ...
</script>
在这种情况下,foo 是一个 C 程序,它不理解 URL 中的编码字符和段错误。
我可以简单地获取 JavaScript 中的值并执行类似 value.replace('&', '&') 的操作,但这看起来很笨拙,并且只适用于 & 符号。
所以,我的问题是:是否有更好的方法来对注入(inject) HTML 属性的数据进行编码或解码?
我已阅读全部 OWASP's XSS Prevention Cheatsheet ,在我看来,只要我小心地引用我的属性,那么我唯一需要编码的字符就是引用本身 (") - 在这种情况下,我可以使用一些东西像 str_replace('"', '"', ...) - 但是,我不确定我是否理解正确。
最佳答案
您当前使用 htmlentities() 或 htmlspecialchars() 的方法是正确的方法。
您提供的示例是正确的 HTML:
<input id="foo" type="hidden" value="foo?bar=1&baz=2" />
value 属性中的 & 符号确实需要进行 HTML 编码,否则您的 HTML 无效。大多数浏览器会在其中使用 & 正确解析它,但这并不会改变它无效的事实,您对它进行编码是正确的。
您的问题不在于值的编码,这很好,而在于您使用的 Javascript 代码无法正确解码。
事实上,我对此感到惊讶,因为您的 JS 代码正在访问 DOM,而 DOM 应该返回解码后的值。
我写了一个 JSfiddle 来向自己证明这一点:http://jsfiddle.net/qRd4Z/
运行它,它会给我一个警告框,其中包含我预期的解码值。将其更改为 console.log 也会给出我期望的结果。所以我不确定你为什么会得到不同的结果?也许您使用的是其他浏览器?可能值得指定您正在测试的是哪一个。或者您错误地对实体进行了双重编码?你能确认事实并非如此吗?
关于PHP:HTML 属性编码/JavaScript 解码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10403985/
我想将html转换为纯文本。不过,我不想只删除标签,我想智能地保留尽可能多的格式。为插入换行符标签,检测段落并格式化它们等。输入非常简单,通常是格式良好的html(不是整个文档,只是一堆内容,通常没有anchor或图像)。我可以将几个正则表达式放在一起,让我达到80%,但我认为可能有一些现有的解决方案更智能。 最佳答案 首先,不要尝试为此使用正则表达式。很有可能你会想出一个脆弱/脆弱的解决方案,它会随着HTML的变化而崩溃,或者很难管理和维护。您可以使用Nokogiri快速解析HTML并提取文本:require'nokogiri'h
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我正在使用ruby1.9解析以下带有MacRoman字符的csv文件#encoding:ISO-8859-1#csv_parse.csvName,main-dialogue"Marceu","Giveittohimóhe,hiswife."我做了以下解析。require'csv'input_string=File.read("../csv_parse.rb").force_encoding("ISO-8859-1").encode("UTF-8")#=>"Name,main-dialogue\r\n\"Marceu\",\"Giveittohim\x97he,hiswife.\"\
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我有一个包含模块的模型。我想在模块中覆盖模型的访问器方法。例如:classBlah这显然行不通。有什么想法可以实现吗? 最佳答案 您的代码看起来是正确的。我们正在毫无困难地使用这个确切的模式。如果我没记错的话,Rails使用#method_missing作为属性setter,因此您的模块将优先,阻止ActiveRecord的setter。如果您正在使用ActiveSupport::Concern(参见thisblogpost),那么您的实例方法需要进入一个特殊的模块:classBlah
在我的Controller中,我通过以下方式在我的index方法中支持HTML和JSON:respond_todo|format|format.htmlformat.json{renderjson:@user}end在浏览器中拉起它时,它会自然地以HTML呈现。但是,当我对/user资源进行内容类型为application/json的curl调用时(因为它是索引方法),我仍然将HTML作为响应。如何获取JSON作为响应?我还需要说明什么? 最佳答案 您应该将.json附加到请求的url,提供的格式在routes.rb的路径中定义。这
我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2
所以我在关注Railscast,我注意到在html.erb文件中,ruby代码有一个微弱的背景高亮效果,以区别于其他代码HTML文档。我知道Ryan使用TextMate。我正在使用SublimeText3。我怎样才能达到同样的效果?谢谢! 最佳答案 为SublimeText安装ERB包。假设您安装了SublimeText包管理器*,只需点击cmd+shift+P即可获得命令菜单,然后键入installpackage并选择PackageControl:InstallPackage获取包管理器菜单。在该菜单中,键入ERB并在看到包时选择
我有这个html标记:我想得到这个:我如何使用Nokogiri做到这一点? 最佳答案 require'nokogiri'doc=Nokogiri::HTML('')您可以通过xpath删除所有属性:doc.xpath('//@*').remove或者,如果您需要做一些更复杂的事情,有时使用以下方法遍历所有元素会更容易:doc.traversedo|node|node.keys.eachdo|attribute|node.deleteattributeendend 关于ruby-Nokog
对于Rails模型,是否可以/建议让一个类的成员不持久保存到数据库中?我想将用户最后选择的类型存储在session变量中。由于我无法从我的模型中设置session变量,我想将值存储在一个“虚拟”类成员中,该成员只是将值传递回Controller。你能有这样的类(class)成员吗? 最佳答案 将非持久属性添加到Rails模型就像任何其他Ruby类一样:classUser扩展解释:在Ruby中,所有实例变量都是私有(private)的,不需要在赋值前定义。attr_accessor创建一个setter和getter方法:classUs