我不太擅长安全性...所以只是想知道如果我使用的是灯箱 2.6.1 并且我有
编辑:示例显示静态,但实际上这个 google.com 链接来自一个mySQL数据库,我已经填充了与图像一起的链接(IE当用户上传他们的图像时,他们键入图像链接源),所以 Google.com 被替换为它。
<a href="uploads/image.jpg" data-lightbox="example-set" title="<a target='_self' href='http://www.google.com'>Google</a>">
<img src="uploads/image.jpg" alt="" />
</a>
是否有可能执行XSS或任何形式的危险JavaScript?我问是因为我对这部分犹豫不决。
title="<a target='_self' href='http://www.google.com'>Google</a>"
答案是"可能"。HTML似乎被嵌入在HREF的"title"属性中,因此请确保不能脱离任何一个
title标记。- 嵌入的
href标签
这完全取决于您用于在其中插入值的编码,但确保单独使用编码是安全的可能很棘手,因为您还将确保无法插入javascript: URL。
在将URL插入数据库之前,是否可以对URL执行任何验证? 例如,文件名仅包含字母数字字符和扩展名前的一个点。
有关防止 XSS 的更多信息,请参阅此处:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet