Ale*_*x B 14 xss clojure compojure
我正在使用Clojure/Ring/Compojure-0.4/Enlive堆栈来构建Web应用程序.
是否有在该堆叠函数要么带HTML或HTML编码(即,<a>到<a>),以防止跨站脚本攻击用户提供的字符串?
Bri*_*per 19
hiccup.util/escape-html在打嗝做到了.该函数曾经在Compojure本身(因为打嗝中的所有功能都曾是Compojure的一部分).这是一个简单的功能,你可以轻松地自己编写它.
(defn escape-html
"Change special characters into HTML character entities."
[text]
(.. #^String (as-str text)
(replace "&" "&")
(replace "<" "<")
(replace ">" ">")
(replace "\"" """)))
还有clojure.contrib.string/escape,它采用了char - >字符串转义序列和字符串的映射,并为您转义它.
user> (clojure.contrib.string/escape {\< "<" \> ">"} "<div>foo</div>")
"<div>foo</div>"
这让我感觉不尽如人意,因为你可能想要逃避多字符序列,这不会让你失望.但它可能适用于您的HTML转发需求.
当然,有很多Java库.你可以使用Apache Commons的StringEscapeUtils:
(org.apache.commons.lang.StringEscapeUtils/escapeHtml4 some-string)
尽管如此,这让我觉得有点重量级.
Mic*_*zyk 15
更新:我知道必须有更多......
ring.util.codec来自ring-core有一个函数,其工作如下:
user> (require '[ring.util.codec :as c])
nil
user> (c/url-encode "<a>")
"%3Ca%3E"
user> (c/url-decode "<a>")
"<a>"
这些是包装java.net.URLEncoder和java.net.URLDecoder.基于Apache Commons的类,相同的命名空间提供了处理Base64编码的功能.
原始答案如下.
我不确定是否有一个公共函数来执行此操作,但Enlive有两个私有函数调用xml-str,attr-str并执行此操作:
(defn- xml-str
"Like clojure.core/str but escapes < > and &."
[x]
(-> x str (.replace "&" "&") (.replace "<" "<") (.replace ">" ">")))
(attr-str也逃脱了".)
你可以得到在与该功能@#'net.cgrand.enlive-html/xml-str(Clojure的不倾向于把事情真正的私人...),或只是将它复制到你自己的命名空间.
事实证明,如果您将文本放入 HTML 元素, Enlive 默认情况下会转义 HTML。net.cgrand.enlive-html/content
(sniptest "<p class=\"c\"></p>" [:.c] (content "<script></script>"))
"<p class=\"c\"><script></script></p>"
| 归档时间: |
|
| 查看次数: |
5176 次 |
| 最近记录: |