在一个web项目中,我们使用ESAPI验证器来检测使用反对称XML文件的XSS攻击。虽然大多数攻击都能按预期检测到,但它无法将以下给定的输入检测为XSS攻击。
& lt; img src = x onerror =警报(1)alt =
浏览器可能会关闭标签本身,从而触发警报功能。
令人惊讶的是,ESAPI将以下输入检测为XSS攻击:
img src=x onerror=alert(1) alt="text">
后端用Java编写,UI用JavaScript编写。Antisamy文件使用:
https://github.com/OWASP/EJSF/blob/master/esapi_master_FULL/antisamy-esapi.xml
我也试过使用myspace的反samy文件,但问题仍然存在。
有没有人能帮我解释一下行为差异的原因或者如何缓解这个问题?谢谢。
这也将有助于我们知道您正在使用哪个版本的ESAPI进行测试,因为不同版本使用不同版本的AntiSamy。(事实上,一个新的1.6.0版本即将发布,之后我们预计会发布一个新的ESAPI点版本。)但是了解ESAPI版本(或者更具体地说,AntiSamy版本)将使我们能够确保这不是AntiSamy中的错误。