1回答
如果我对不受信任的数据进行编码,并将其放入eval()函数中,例如:
eval('var a="JS_ENCODED_UNTRUSTED_DATA";alert(a);');
在这种情况下,XSS是怎么可能的?
编辑:来澄清我所说的"JS编码“的含义:在Java中,我可以使用OWASP编码器为各种上下文编码不受信任的数据。例如,如果我将不受信任的数据插入到HTML中,或者如果将不受信任的数据插入到JS中,则为Encoder.forHTML(UNTRUSTED_DATA)或Encoder.forJavaScript(UNTRUSTED_DATA)。它只是简
浏览 1提问于2015-06-08得票数 1
1回答
我有一个网站:https://bugbounty.com/test/"injection is js",但是"是用\转义的,我试图注入</script><script>alert(),但是https://bugbounty.com/test/</script><script>alert()因为/将我重定向到一个404页面,我尝试将/编码为%2f,但是我得到了相同的结果。
你知道怎么绕过它吗?
浏览 0提问于2023-03-19得票数 0
我正在用oTree编程(这是一个基于Django的社交实验环境),我有以下问题。我用Python定义了一些列表,我希望导入它们并在HTML模板中使用它们。如果我用HTML打印它们,那么我就可以在没有任何问题的情况下看到它们,但是,一旦我需要在Javascript中使用它们,程序就无法读取它们,列表元素的单引号将在'中转换。这个列表是像这个var filtered_elements = {{ array }};一样导入的。
我认为问题就在这里,因为JS无法与他们合作。你对怎么做有什么建议吗?我考虑过使用JSON,但由于我对编程非常陌生,我无法理解这是浪费时间还是有更简单的出路。谢
浏览 2提问于2017-01-16得票数 2
回答已采纳
1回答
在package.json中,我试图替换它:
"main": "lib/index.js",
"types": "lib/index.d.ts",
通过这一点:
"main": "./index.js",
"types": "./index.d.ts",
因此,我编写了一个简单的脚本,用点代替字符串模式,如下所示:
sed 's/lib\//.\//g' package.json
当我在终端输入它的时候它就能工作了。
但是当它在packag
浏览 2提问于2022-07-05得票数 1
回答已采纳
可以用ASP脚本的值调用JS函数吗?
我认为这是可能的,所以我尝试了下面的方法,但我似乎无法让它运行。如您所见,JS调用中有一个ASP变量"totalPages“。
Response.Write "<form name=""pageSkip"" onsubmit=""return validatePageSkip("&totalPages&")"">"
然后我有了JS函数,即:
function validatePageSkip(totalPages)
{
浏览 3提问于2011-09-20得票数 0
回答已采纳
好的,我一直在搜索这个,并在这里找到了一个可能的副本()。但是,这个问题包含<%=和<%:,但不是<%-。
为了确定我还在问我的问题。
我正在尝试设置一个在服务器端呈现的node.js/express/d3应用程序。我在这里找到了一个描述我想做什么的回购工具:
在该html代码中,有一个代码片段,我想将其实际转换为玉:
<h1>D3 Server-side Demo</h1>
<%-
barChartHelper.getBarChart({
data: fixtureData,
width: 400,
hei
浏览 1提问于2015-10-30得票数 4
回答已采纳
2回答
使用ejs嵌入用户对象
、、、、
我目前正在使用护照模块在Node.js中实现web应用程序的身份验证。在呈现索引页时,我将用户对象返回给用户。
app.route('/').get(function(req, res) {
res.render('index', {
isAuthenticated: req.isAuthenticated(),
user: req.user //User Object provided by passport
});
});
我试图使用ejs将用户对象嵌入到DOM中:
<!--Embedding The U
浏览 3提问于2016-02-04得票数 1
回答已采纳
我在用Slim。当我描述一个javascript:块时,我在JS代码中使用它:
javascript:
var tteesstt = #{users.select(:id, :email).order(:email).to_json};
但我知道这个错误:
SyntaxError:意外令牌'&‘。期望有一个财产名称。
我试着用JSON.parse()包起来,但没什么用。
请告诉我,如何解决这个问题?
浏览 0提问于2018-08-24得票数 1
回答已采纳
3回答
我们有一辆超光速车-
<a href='javascript:func("${event.title}");'>Link</a>
当该值有撇号时,如Norman'S Birthday,它就会中断。
我们用js_string来修复它-
<a href="javascript:func('${event.title?js_string}');">Link</a>
但我们还必须将$expression周围的双引号更改为单引号--这不适用于双引号。
问题-
有办法用$expressi
浏览 2提问于2018-03-18得票数 1
1回答
幻影JS +角JS -分析误差
、、、、
在PhantomJS上使用Karma执行单元测试时,我得到了PhantomJS。
PhantomJS 1.9.7 (Windows 7) ERROR
SyntaxError: Parse error
at d:/Path/To/File/index.html.js.js.js.js:11
PhantomJS 1.9.7 (Windows 7): Executed 0 of 0 ERROR (0.512 secs / 0 secs)
在上述html文件中的这一行,我有一个条件角语句:
{{ condition && "String with an esca
浏览 3提问于2014-10-03得票数 1
回答已采纳
为了将网页发布到wordpress,我以以下方式使用casperjs,从文件中读取两个参数:新网页和密码。
casperjs tools/wordpresspublish.js 1 "$(< html/數1.html)" $(< tools/wppwd)
这在命令行中运行得很好。现在我尝试在Makefile中做同样的事情:
.1.publ: 數1.html
casperjs tools/wordpresspublish.js 1 "$(cat html/數1.html)" $(cat tools/wppwd)
touch .1.publ
浏览 20提问于2016-08-17得票数 0
回答已采纳
4回答
我的目标是用ack找出所有出现"<?=“的地方。我该怎么做呢?
ack "<?="
不起作用。请告诉我如何解决这里的转义问题?
浏览 0提问于2010-06-19得票数 22
回答已采纳
操作系统: Debian Jessie 64
sed (GNU sed) 4.2.2
我必须替换我从.到././/的道路。
测试文件。
$ cat dot.js
path = '../'
我把反斜杠放在斜杠前面,用单引号:
sed -i 's/..\//..\/..\//g' dot.js
产出:
path = '../../'
但是,当我在实际文件中使用时。
$ cat dotdot.js
var real_questionHandler = require('../routes/questionHandler_delqid.js&
浏览 5提问于2015-08-01得票数 2
回答已采纳
我试着用highlight.js,但没有用
我像网站上说的那样工作,但我不知道怎么了
<link rel="stylesheet" href="styles/default.css">
<script src="js/highlight.pack.js"></script>
<script>hljs.initHighlightingOnLoad();</script>
<title></title>
</head>
//test the co
浏览 6提问于2016-09-23得票数 7
回答已采纳
X = FILTER DATA BY (text matches '.*are you there?).*');
它抱怨')'在matches参数中。我试着在它之前用反斜杠,但它还是没有起作用。知道怎么用吗?
浏览 2提问于2013-10-11得票数 0
2回答
我正在尝试做regex,它将匹配文件中的所有console.log("anything");。我编写了下一个模式字符串:
@"(console\.log\(\"(.*)\"\)\;)"
编译器不编译代码,并指出:
方法,则需要委托或事件。
问题是,"字符的反斜杠。但我不知道怎么解决,有什么办法吗?
我在方法中使用这个模式:
js.RegexReplace(@"(console\.log\(\"(.*)\"\)\;)", "", RegexOptions.Singleline);
浏览 3提问于2015-02-27得票数 3
回答已采纳
1回答
Vue.js 2自动转义HTML
、、、、
我用Vue 2 js和Laravel 5.5。
我有一个组件数据-标记文本。我有一个虚拟的例子
new Vue({
el : '#lesson_edit',
data : {
lesson : {
body : `{{ $lesson->body }}`
}
}
});
身体字符串有一个‘符号.但是在赋值ot转义到<之后。
问题是接下来,我有一个vue组件,它将标记转换为html。
<template>
浏览 2提问于2017-09-20得票数 1
回答已采纳
我试着用got (npm包)测试一个swagger api。
当我试图用json模式验证json响应时,当分离的yaml文件组合成一个yaml和json文件时,我得到一个parseError。原点是-validate()行。validate()起源于got swag包,但在它的基础jsonschema.validate(数据、模式);依赖项中失败。
x-tests:
- description: Should return array of ferries
steps:
- get('/api/get/link/ferrie
浏览 5提问于2017-05-17得票数 3
1回答
我有一个bash脚本,它只是grep命令的一个快捷方式。我这样叫它:
stx -p /var/www -t 'my text'
这将运行以下命令:
sudo grep -rinI /var/www -e 'my text'
我试图添加包含或排除具有特定扩展名的文件(.css、.js等)的能力。下面是脚本:
#!/usr/bin/bash
#search for text in files
set -x #echo all commands
while [ -n "$1" ]; do
case "$1" in
浏览 0提问于2019-10-11得票数 3
回答已采纳
3回答
将正则表达式放入字符串中
、、、、
我正在尝试使用javascript文件A (用Node.js编写)通过将字符串从A写入.js文件B来动态创建javascript文件B。我想在javascript文件B中使用正则表达式。这要求我将B的正则表达式函数放在A中的字符串中。然而,每当我使用反斜杠(转义字符)时,文件A立即解释正则表达式函数,而不是将其视为字符串。
一些代码可以帮助理解我的问题:
var mongodata = "Some String with square and curly brackets ]}{]]},]},}{}{{}},{[[][,][,";
mongodata = 'var mo
浏览 3提问于2013-06-22得票数 1
回答已采纳
2回答
如何在regex中创建或运算符?
、、、、
我有一个函数,它循环在script标记上,并尝试基于url匹配它们的src。
$('script').each(function(index) {
var com = this.src.match(/use\.typekit\.com\/(.+)\.js/);
});
目前,上面的脚本只支持.com typekit urls。我也想支持.net。
我试过这样做:
$('script').each(function(index) {
var com = this.src.match(/use\.typekit\(.com|.net)\/(.+)\.
浏览 2提问于2014-06-03得票数 1
回答已采纳
我使用下划线js方法来转义HTML:
var __entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
String.prototype.escapeHTML = functi
浏览 1提问于2014-05-14得票数 0
我使用Sails JS和Jade模板。在控制器中,我使用res.view('/index',{data:data});来呈现包含数据的索引页。我想从控制器向视图发送html代码(例如:<h1>DEMO TEST</h1>)。以及我该怎么做。
浏览 0提问于2015-12-09得票数 2
1回答
在自定义Twig函数中,如何转义XSS?
考虑到这一点:
class TwigExtension extends \Twig_Extension
{
public function getName()
{
return 'html_helpers';
}
public function getFunctions()
{
$options = array(
'is_safe' => array('html')
);
浏览 0提问于2014-10-30得票数 1
回答已采纳
2回答
我想在我的html页面中显示下面的片段。我用的是角度2。
{path: 'test', component: TestComponent}
为了实现这一点,我在模板中添加了以下内容:
<pre>
<code>{path: 'test', component: TestComponent}</code>
</pre>
当我加载模板时,我会看到下面的错误。我该怎么解决这个问题?我不能用代码标签吗?
directive_normalizer.js:127 Uncaught Error: Template parse er
浏览 1提问于2017-09-07得票数 1
回答已采纳
我正在用js插入内容,其中包括对函数的onclick调用。此函数传递一个包含数据库条目的参数,该数据库条目可能包含一个'。
var action = '<a href="#" class="facebook-share" onclick="facebookWallPost(\' '+name+'\')">Share</a>';
麻烦的是,当name包含一个撇号时,它会中断函数调用。我尝试过用'替换名称上的字符串,但浏览器似乎仍然将其转换为'。
浏览 3提问于2014-03-31得票数 1
回答已采纳
我需要编写一个bash脚本,它首先将几个文件组合成一个文件,然后用字符串jQuery替换所有的$符号。我一直做得很好,直到被替换:
#!/usr/bin/env bash
# Run this script in this directory to compile the fixed query widget
# where we'll write the output to
OUT="compliled.js"
# path to dependencies
# combine all the dependencies into a single file in
浏览 14提问于2021-03-12得票数 0
我试图弄清楚如何在第三层中使用引号。
我需要以某种方式“逃离”这些引语吗?
/JS/HTML
echo "<script type='text/javascript'>";
echo "$('#rImgObjNr').text('Bilder: ".$imgDirs[$randomDir]."<i class='fa'></i>');";
echo "</script>";
这是我的图标元素,它的引号有问题:
&
浏览 10提问于2016-07-01得票数 0
回答已采纳
我获得了这种格式的时间( 2019-02-06 08:39:11 ),并将moment.js更改为FEB 6TH 2019, 8:39:11 AM (代码:moment(time).format('MMM Do YYYY, h:mm:ss a'); ),因此需要将格式从FEB 6TH 2019, 8:39:11 AM更改为FEB 6TH 2019 at 8:39:11 AM (用‘at’更改逗号)。我能用moment.js做吗?
浏览 1提问于2019-07-12得票数 0
回答已采纳
1回答
我是PHP新手,我有一个表单,人们可以在这个表单中向DB提交值。稍后,这些值将使用JS注入,或者直接放在HTML文档中。
我正在使用以下内容来清理我的输入:
function sanitise($str){
$string = htmlspecialchars($str);
$string = mysql_real_escape_string($str);
return $string;
}
这样做的问题是,在我的DB中,带有引号的输入看起来像这样:input's。这意味着如果我在JS中输入这个值,引号将会把一切都搞砸。
我试着这样做,以避免引用:
function san
浏览 3提问于2013-09-18得票数 1
1回答
我使用层流转义器来转义html和javascript中的值。我使用ajax从服务器获取值。所以我用层流逃逸器在php中转义。当我从服务器获取数据时,我将它们存储在js变量中,有时甚至使用html显示它们。例如,在sample.js中:
var xhttp = new XMLHttpRequest();
xhttp.open("POST", "process.php", true);
xhttp.setRequestHeader("Content-Type", "application/json");
xhttp.onread
浏览 3提问于2022-02-28得票数 0
我使用hbs来呈现我的页面,其中包含导航和页脚的分词。
router.get('/test', function (req, res) {
return res.render('test');
});
在一个页面上,我有使用mustache.js的模板。此模板无法正常工作,因为{{}}似乎是在hbs渲染中拾取的。下面是一个说明错误的基本示例。如果我用express加载这个静态页面,我会得到"Joe is a Web Developer",如果我用hbs呈现它,我会得到"is a“。
有没有什么解决办法不需要我改变所有页面的渲染方式呢?
浏览 2提问于2017-09-08得票数 1
我有两个文件应该连接。
file.php和page.html
file.php包含以下代码:
document.writeln('< script src="https://www.googletagservices.com/tag/js/gpt.js">
googletag.pubads().definePassback('/11322282/48fashion.com//300x250', [300, 250]).set("page_url","http://48fashion.com/").disp
浏览 5提问于2016-10-15得票数 0
回答已采纳
在node.js中,如果我试图(使用fs模块)从链接中带有反斜杠的文件中读取数据,我会得到如下结果
Error: EISDIR: illegal operation on a directory, open 'C:\main\temp\config
1\folder\plugin\jquery-3.1.1.min.js'
at Error (native)
errno: -4068,
code: 'EISDIR',
syscall: 'open',
path: 'C:\\main\\temp\\config1\\
浏览 47提问于2016-09-28得票数 0
我试图用Node中的http://xyz.yzx.com/abc/def/中的/qwe/替换所有出现的String。我对Node js非常陌生。所以,我想我在语法上做了一些错误。下面是我正在尝试的代码。
var newString = originalString.replace("http:\/\/xyz\.yzx\.com\/abc\/def\//g", "/qwe/");
但这不能替代。有人能告诉我我做错了什么吗?我已经尝试了很多调整,但不知怎么的,我无法实现替换所有的事件。
如果你能给出任何建议,我将不胜感激。
浏览 3提问于2017-10-09得票数 1
回答已采纳
我在菜单图标☰中使用unicode字符,并希望在单击时将其替换为x字符。
HTML文档编码是UFT-8.<meta charset="utf-8">
还有一些文本,Menu (后面跟着空格),在unicode字符之前,我不想改变,因为它的字体大小是用动态调整的,这意味着如果我改变所有的字体大小,替换的字体大小是不一样的,这使得设计非常难看。
。
这就是我尝试过的,但不知怎么的,它并没有抓住引号中的字符,我在regex上也没用。
HTML
<div id="menu-button" class="menu-button
浏览 1提问于2016-06-06得票数 2
回答已采纳
3回答
我有一个程序(用Clojure编写),它向JS函数中注入一些JS代码,然后通过Nashorn对其进行评估。我无法控制代码传递(它可能包含引号、简单引号.)。
看起来是这样的:
;; Clojure
(eval-str (str "print(evaluateCode(\"" s " \"))"))
// equivalent code in pseudo-js just for those not reading Clojure fluently
evalJS("println(evaluateCode(" + arbitra
浏览 3提问于2016-01-04得票数 0
回答已采纳
我正在尝试使用sed进行查找和替换。我试图找到这样的一个:用purge: [],代替purge: ["./src/**/*.{js,jsx,ts,tsx}", "./public/index.html"],,但它不起作用,这是我的命令:
sed -i -e 's/purge: [],/purge: ["./src/**/*.{js,jsx,ts,tsx}", "./public/index.html"],/g' myfile.txt
你能帮帮我吗?
非常感谢!
浏览 14提问于2021-12-05得票数 1
1回答
我正在使用PlayFramework2,我无法找到一种正确处理HTML转义的方法。
在模板系统中,HTML实体在默认情况下被过滤。
但是当我在Backbone.js中使用REST请求时,我的JSON对象不会被过滤。
我使用play.libs.Json.toJson(myModel)将对象转换为字符串。
所以,在我的控制器里,我用return ok(Json.toJson(myModel));发送响应.但是在这里,我的模型的属性是不安全的。
我想不出办法来处理它..。
第二个问题:
模板引擎在默认情况下过滤HTML实体,这意味着我们必须将原始用户输入存储到数据库中。
这是一种拯救行为吗?
第三次
浏览 2提问于2013-04-25得票数 0
1回答
我如何处理酒杯和降价
、、、、
我在用速递和酒杯来做我的项目。我想添加“标记”到我的项目编辑。但是发生了一些冲突。
例如:在视图中,我在{{ title }}中使用index.html。事实上,title是<h2>www</h2>,我想看到的是-“在浏览器中,带有h2的www将被输出”,但是在浏览器中,页面是由<h2>www</h2>输出的。
在快车里我该怎么做?我做了一个测试,即在app.set('view autoescape', false);中添加代码app.js,但是没有什么是改变的!我该怎么办?
浏览 2提问于2015-04-11得票数 0
回答已采纳
2回答
我正在构建一个Backbone.js应用程序,我想知道在使用Backbone.js时分别处理XSS的最佳方法是什么。
在官方文档中的基本Backbone.js中,数据不会转义。由于模板中使用这些数据来呈现todo条目,因此可以通过输入以下文本(可以在上面的链接中复制)执行Javascript代码:
"><script>alert('xss');</script>
当使用REST服务器作为存储后端时,这个XSS对于每个用户都是持久的。
你怎么解决这个问题?
我的想法是转义服务器上的数据,因此返回的数据在模板中是安全的。那么,我是否必须始终使用
浏览 9提问于2012-09-25得票数 26
回答已采纳
3回答
来自:
我试着用:
using System.Text.RegularExpressions;
Dictionary<string, string> parameters = new Dictionary<string, string>();
parameters.Add("goodName1", "asdf");
parameters.Add("goodName2", "qwerty");
string text = "this is my {goodName1} template {goodN
浏览 4提问于2012-04-25得票数 0
回答已采纳
1回答
我不确定这是怎么发生的(也许我输入了一个命令行vi ~ /extra/space.txt?)但是现在有一个名为~的文件暂存以供提交。我不想把它添加到git中,在考虑可能的副作用之前,我在犹豫是否要尝试rm ~。 $ git status
On branch master
All conflicts fixed but you are still merging.
(use "git commit" to conclude merge)
Changes to be committed:
modified: apples.js
modified: a
浏览 7提问于2021-09-24得票数 3
回答已采纳
我正在CodeIgniter 3.1.11中开发一个电子商务站点,Active Record不会自动摆脱单引号。但是在文档中提到,活动记录将自动转义输入。
$ar = array(
'name'=>"Jon'", //see the extra single quote here after the name Jon
);
$this->db->insert('test',$ar);
这段代码将在数据库中添加单引号,如果我获取这些数据并在HTML中显示它,那么任何人都可以在那里执行内联js,例如。Jon'
浏览 4提问于2020-12-31得票数 1
回答已采纳
2回答
如果URL中已经有单引号和双引号,但是需要用引号将该URL括起来,该怎么办?
例如:
<script src="http://(some url text)xpath='//*[@id="node-1075"]/div/div[1]/div/div/p[2]'"></script>
节点ID用引号括起来,如果我把单独放在地址栏中,它就可以工作,但是一旦它用引号括起来它就不能,我也不能转义引号,否则它会失败,我该怎么办?
浏览 0提问于2015-09-11得票数 1
2回答
我试着添加一个符号,就像这样:
<Label Text="Phrase & Meaning Visible" />
这不起作用,所以我试着用a\分隔,这也不起作用。有人对我怎么做有什么建议吗?
浏览 0提问于2019-05-29得票数 2
回答已采纳
1回答
Google地图坐标转义
、、、
这就是问题: 45°38'14.07“
如何对其进行转义(Struts操作读取一个生成字符串的XLS。此字符串是js中array的参数)。
或者没有逃脱..。我怎么使用它?
浏览 0提问于2010-02-02得票数 1
回答已采纳
我在node js中为android和iOS开发的移动应用程序开发了一个API。该应用程序的一个用户输入的名称为"ساجار“(阿拉伯字体),并按原样存储在数据库中。该名称在iOS应用程序中显示为原样,但安卓应用程序显示一些垃圾信息。谁能告诉我,如果我需要在API或android应用程序端做一些更改,该怎么做?
浏览 0提问于2016-01-25得票数 1
1回答
我编写了这个正则表达式来匹配字符串:
(?>(?<Quote>""|').*?(?<!\\)\k<Quote>)
即,一些用引号括起来的文本。它还支持转义,因此它将完全匹配"hello\"world",而不会像我希望的那样在第一个引用处停止。但我忘了双重转义。例如,"hello\\"world"是无效的。
我非常确定这是可以用修复的,但我以前从未真正使用过它们。有人知道怎么写这个吗?
浏览 7提问于2011-05-11得票数 1
回答已采纳
我试过用replace(/ ./g, '.');消除点前的逗号,但没有成功。知道是怎么回事吗?谢谢。
浏览 9提问于2013-12-07得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
