第三十一章 使用 CSP 进行基于标签的开发 - 转义和引用HTTP输出

简介: 第三十一章 使用 CSP 进行基于标签的开发 - 转义和引用HTTP输出

第三十一章 使用 CSP 进行基于标签的开发 - 转义和引用HTTP输出

转义和引用HTTP输出

要创建HTML中使用的特殊字符的文字显示,必须使用转义序列。 例如,要在HTML中显示>(右尖括号)字符(它在HTML中具有特殊含义),必须使用字符序列:>对其进行转义。 CSP文档的不同部分可能使用不同的转义规则(例如HTMLJavaScript`)。

%CSP.Page 提供了许多转义和引用方法:

  • 转义方法接受一个字符串作为输入,并返回一个所有特殊字符都替换为适当转义序列的字符串。
  • 引用方法接受一个字符串作为输入并返回一个带引号的字符串(即带有适当的括引号)。 加引号的字符串还将所有特殊字符替换为转义序列。
  • 对于每个转义方法,都有一个相应的反转义方法,它将转义序列替换为纯文本。

使用EscapeHTML转义HTML

%CSP.Page 可以用相应的HTML转义序列替换字符。

#(..EscapeHTML(x))#
复制代码

如果x的值<mytag>,则向HTTP客户端发送以下转义文本:

&lt;mytag&gt;
复制代码

同样,当你发送HTML属性的值时,转义是必要的:

<input type="BUTTON" value="#(..EscapeHTML(value))#">
复制代码

如果value的值是<ABC>,这将导致以下文本被发送到HTTP客户端,其中左右两个尖括号被替换为它们的等效字符序列:<并且>分别是:

<input type="BUTTON" value="&lt;ABC&gt;">
复制代码

""(引号)放在#()#指令的两边,使生成的HTML属性值带引号。

当从数据库向HTTP客户端发送输出时,对其进行转义是一个很好的做法。例如,考虑以下将用户名写入网页的表达式(假设user是对具有name属性的对象的引用):

User name: #(user.Name)#
复制代码

如果应用程序允许用户将他们的名字输入到数据库中,会发现一个恶意用户可能会输入一个包含HTML命令的名字。如果将下面的内容写到一个没有HTML转义序列的HTTP客户端,该页面可能会出现意外的行为。

Set user.Name = "<input type=button onclick=alert('Ha!');>"
复制代码

EscapeURL转义URL参数

URL字符串中的参数值也可以转义。URL使用一组不同于HTML的转义序列。%CSP.Page在一个类EscapeURL方法中用相应的转义序列替换所有特殊的URL参数值处理字符。

例如,如果CSP文件使用服务器端变量x的值作为URL参数值,则x中的任何字符都可以通过以下表达式进行转义:

<a href="page2?ZOOM=#(..EscapeURL(x))#">Link</A>
复制代码

如果x的值是100%,那么下面的文本被发送到HTTP客户端。%字符被转义为%25

<a href="page2?ZOOM=100%25">Link</A>
复制代码

QuoteJS转义JavaScript

%CSP.Page 类中的提供#(. .QuoteJS(x))#字符串,用它们对应的JavaScript转义序列替换所有特殊字符。

例如,假设一个CSP文件定义了一个客户端JavaScript函数,该函数在警报框中显示一条消息,该消息由服务器端变量x的值指定。x的值被转换成一个JavaScript加引号的字符串:

<script language="JavaScript">
function showMessage()
{
   alert(#(..QuoteJS(x))#);
}
</script>
复制代码

如果x的值是“Don't press this button!”,然后将以下文本发送到HTTP客户端:

<script language="JavaScript">
function showMessage()
{
   alert('Don\'t press this button!');
}
</script>


相关文章
|
6月前
|
XML 存储 网络协议
kettle开发篇-Http client
kettle开发篇-Http client
701 0
|
1月前
|
Rust 前端开发 API
Tauri 开发实践 — Tauri HTTP 请求开发
本文介绍了如何在 Tauri 中发起 HTTP 请求。首先通过安装 Tauri 生态中的工具包并配置 `tauri.conf.json` 文件来允许特定域名的 HTTP 通信。接着封装了一个简单的 HTTP 客户端类,并在页面中使用该客户端实现 GET 和 POST 请求。最后提供了完整的源码地址以供参考。此功能使得桌面应用能够与远程服务器进行交互,增强了应用的实用性。
86 1
Tauri 开发实践 — Tauri HTTP 请求开发
|
4月前
|
运维 Serverless API
Serverless 应用引擎使用问题之如何开发HTTP服务
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
6月前
|
SQL DataWorks Java
DataWorks操作报错合集之在阿里云 DataWorks 中,代码在开发测试阶段能够成功运行,但在提交后失败并报错“不支持https”如何解决
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
112 1
DataWorks操作报错合集之在阿里云 DataWorks 中,代码在开发测试阶段能够成功运行,但在提交后失败并报错“不支持https”如何解决
|
6月前
|
JSON Java API
Android 深入Http(5)从Retrofit源码来看Http,最新Android开发面试解答
Android 深入Http(5)从Retrofit源码来看Http,最新Android开发面试解答
|
6月前
|
Web App开发 前端开发 Java
SpringBoot配置HTTPS及开发调试
在实际开发过程中,如果后端需要启用https访问,通常项目启动后配置nginx代理再配置https,前端调用时高版本的chrome还会因为证书未信任导致调用失败,通过摸索整理一套开发调试下的https方案,特此分享
93 0
SpringBoot配置HTTPS及开发调试
|
6月前
|
缓存 前端开发 JavaScript
React和Next.js开发常见的HTTP请求方法
React和Next.js开发常见的HTTP请求方法
111 0
|
6月前
|
网络协议 安全 Java
理解HTTP协议:Java Web开发的基础
【4月更文挑战第3天】本文介绍了HTTP协议的基础知识,包括其无状态、应用层协议的特性,基于请求/响应的工作模式,以及TCP连接、HTTP请求和响应的流程。HTTP方法如GET、POST、PUT等用于不同操作,状态码则表示请求结果。在Java Web开发中,理解HTTP有助于设计RESTful API、管理状态、确保安全性、优化性能和处理错误。HTTP协议的深入理解对构建高效、健壮和安全的Web应用至关重要。
70 3
|
6月前
|
JSON Go API
Go语言网络编程:HTTP客户端开发实战
【2月更文挑战第12天】本文将深入探讨使用Go语言开发HTTP客户端的技术细节,包括发送GET和POST请求、处理响应、错误处理、设置请求头、使用Cookie等方面。通过实例演示和代码解析,帮助读者掌握构建高效、可靠的HTTP客户端的关键技术。
|
6月前
|
Linux 开发工具 git
【开发专题_03】unable to access ‘https://github.com/deviantony/docker-elk.git/‘: Failed connect to github
【开发专题_03】unable to access ‘https://github.com/deviantony/docker-elk.git/‘: Failed connect to github
141 2