XSS与国际化

最新推荐文章于 2025-11-25 00:37:10 发布
原创 最新推荐文章于 2025-11-25 00:37:10 发布 · 1w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fr #省略符 #xss #gwt

提到省略符,见多识广的国际化测试人员的第一反应应该会是法语。没错,在法语中的确充斥着这样的符号(俗称“撇号”)。一旦出现这样的符号,总是会涉及到转义问题,例如如下信息。在这里,细心的本地化人员已经为省略符做了转义。
 
message=Supprimer cette stratégie de tous les droits d''accèsliés ? Si vous cliquez sur OK, les demandes associées à cette stratégiene seront plus soumises à l''approbation, saufsi vous appliquez une autre stratégie.
 
然而在前端UI中转义符并未生效,撇号显示为不可读的字符串&#39,如下图所示。
在深入分析该bug的成因前,首先需要介绍一下本例中涉及的技术背景XSS(Cross Site Scripting)——跨站脚本攻击。这是Web程序中最常见的漏洞之一。攻击者预先在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本程序就会在用户的浏览器上执行,从而达到攻击者的目的。例如可以获取用户的Cookie,导航到恶意网站,携带木马等。
 

XSS攻击之所以会发生,归根结底是因为用户输入的数据变成了可执行代码。所以通常情况下,我们需要对用户输入的数据进行HTMLEncode处理,将其中的中括号、单引号、双引号之类的特殊字符进行编码。这就使得一个Web安全问题引入了国际化bug的潜在可能。 


再次回到本案来走读示例代码。
public PromptPanel(String title, String message, ImageResource imageResource, String okButtonText, String cancelButtonText) {
	...	
	if (!StringUtil.isNullOrEmpty(title)) {
		_title = SafeHtmlUtils.htmlEscapeAllowEntities(title);
	}
	if (!StringUtil.isNullOrEmpty(message)) {
		_message = SafeHtmlUtils.htmlEscapeAllowEntities(message); // fixes XSS
	}	
	...
}

这里我们可以清晰的看到,_title和_message这两个变量为了避免XSS攻击,都经过了htmlEscapeAllowEntities方法的转义处理。然而在初始化ImageLabel的时候,程序对lable的内容进行了二次转义,这就导致了HTML Entity在前端的出现。 
private void initContent() {
<span style="white-space:pre">	</span>if (!StringUtil.isNullOrEmpty(_title)) {
<span style="white-space:pre">		</span>Label title = new Label(_title);
<span style="white-space:pre">		</span>container.add(title);
<span style="white-space:pre">	</span>}
<span style="white-space:pre">	</span>ImageLabel label = new ImageLabel(_message, _imageResource);
<span style="white-space:pre">	</span>…
}	  

public ImageLabel(String label, ImageSpec imageSpec) {
<span style="white-space:pre">	</span>this(new SafeHtmlBuilder().appendEscaped(label).toSafeHtml(), imageSpec);
}

现在我们了解了问题的成因,再次审视,不禁反思——这真的只是法文特有的国际化bug么?其他自然语言(例如英文)就不存在类似问题? 
 
显然事实并非如此,英文中I'm, I didn't这样的词句依然可以触发该现象。那么当我们再次遇到这个所谓法文常见“国际化问题”时,还会不假思索的将其标识为国际化bug么?读到这里,相信大家已经有了自己的答案。
directx绘制流水线&绘制简单图形
07-01
简单介绍directx9.0绘制流水线&绘制简单图形
网络安全知识之XSS介绍
elricboa的专栏
12-03 1023
1、XSS简介 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 XSS跨站漏洞如此普遍和流行的主要因素有如下几点: web浏览器本身的设计是不安全的,浏览器包含了解析和执行javaScript等脚本语言的能力
xss框架(二)基础框架实现
amm28824的博客
01-20 1033
简述 自上一篇博客介绍浏览器通信以来已经过去将近两个月了,兜兜转转挖了不少坑,也走了很多弯路。期间研究saml2.0和单点登录等技术都最后无疾而终。 只有xss框架这部分坚持了下来,这个框架还有很多事情需要完善,不过总算是有了一点小成果,很开心~~~ 代码放到了这里对照着看效果更好 https://github.com/littleworldwar/pybeef 0x00web服务器设计
React 中 react-i18next 切换语言( 项目国际化
muzidigbig的博客
08-12 2653
首先在项目中安装i18n插件,然后将插件引入到项目,然后配置语言包,然后就用特定的方法来展示可以切换语言的字段。通过调用这个i18n changeLanguage(languageType) 这样一个方法就可以简单的修改我们当前的语言。3.4、 在reducer中要操作i18n的配置文件,对 i18n 进行初始化操作及插件配置。 可以在前端使用 `navigator.language` 或 `navigator.userLanguage` 获取浏览器的语言设置
xss漏洞
weixin_46962006的博客
12-03 1495
                       xss漏洞 前言        个人观点,若有误请指教
全面掌握XSS攻击防御的实践平台源码
weixin_42591908的博客
10-07 1217
本文还有配套的精品资源,点击获取 简介:XSS攻击是一种网络安全漏洞,允许在用户浏览器执行恶意脚本。该源码包提供了一个学习和研究XSS攻击的测试平台,涵盖了存储型、反射型和DOM型三种XSS攻击类型。平台不仅展示了XSS攻击示例,还提供了相应的防御策略。通过平台的学习,开发者能掌握创建和利用XSS漏洞的技术,并学会如何加固Web应用防御XSS攻击。同时,该平台介绍了XSS漏...
国际化解决方案:使用 React 实现多语言支持
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
12-20 2189
国际化(i18n)是指在软件开发过程中,使应用能够支持多种语言和地区文化,而不需要对应用的核心代码进行大量修改。通过国际化,可以让同一应用根据用户的语言和文化背景,动态调整显示的内容。语言资源的管理:存储和管理多语言文本。动态切换语言:根据用户选择的语言动态更新 UI。处理日期、时间和数字格式的本地化。通过使用,我们可以为 React 应用轻松地添加多语言支持,提升全球用户的体验。本文介绍了如何在 React 中配置国际化,包括语言资源管理、语言切换功能的实现以及动态加载语言文件等技术。
jackson序列化和反序列化、国际化、thymeleaf模板、错误页面
dgh112233的博客
04-22 899
1. @ResponseBody 和 @RequestBody 虽然总提序列化,但是我们很少深刻体会到,那是因为在web项目中,方便的注解替我们解决了。 @RestController 的效果 = @Controller + @ResponseBody @ResponseBody注解在Controller层的某个方法,表示返回给前端的对象要进行序列化。 @RequestBody注解在Con...
SpringCloud&React项目国际化的初体验遇到的一些问题和解决方案
zhaoenweiex的博客
01-15 1396
近期负责的项目出现了可能的国外客户,因此要将系统进行国际化,以备开拓国际市场。毕竟赚美元很是带劲。项目前后端分离,前端是基于React开发,后端呢就是SpringCloud全家桶。背景大概就是这样,总是目标就是对系统进行国际化改造,以便支持国际用户。
什么是XSS攻击?
热门推荐
weixin_40851188的博客
04-18 1万+
网络千万条,安全第一条。网安不规范,网站都完蛋! 前端工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识。这篇文章将带领大家认清XSS攻击,以及对于XSS攻击该如何防范。 什么是XSS攻击? XSS攻击指的是: 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执...
PHP常用工具函数小结【移除XSS攻击、UTF8GBK编码转换等】
10-17
由于历史和技术原因,GBK编码在中国等地区依然被广泛使用,而UTF-8作为国际化标准字集,也在全球范围内得到支持。 在PHP中,可以通过内置函数或者扩展库来实现编码转换。下面是一个简单的函数示例,展示如何将GBK...
React从基础入门到高级实战:React 生态工具 - React 国际化(i18n)
zimin的专栏
05-29 1519
React国际化(i18n)是构建多语言应用的关键技术,本文全面介绍了使用react-i18next实现React应用的国际化方案。主要内容包括:1) react-i18next的安装基础配置;2) 通过useTranslation钩子和Trans组件实现翻译;3) 多语言切换翻译文件组织;4) 动态加载翻译资源优化性能;5) Next.js框架的集成方法。文章通过电商网站案例,详细展示了中英文切换的具体实现,并探讨了懒加载等性能优化策略,为开发者提供了完整的React国际化实践指南。
OWASP安全扫描工具:自动化检测SQL注入XSS攻击
资源摘要信息:"OWASP安全扫描程序是一个自动化安全扫描工具,它利用Python 3.9.1环境中的Selenium和BeautifulSoup库来实现自动化SQL注入和跨站脚本(XSS)攻击的检测。SQL注入和XSS是目前最常见的两种网络安全威胁,...
第5篇 | Web应用的“外邪”:XSS、CSRFSSRF漏洞详解
maqh_csdn的博客
11-23 84
Web应用的“外邪”,不是 直接攻破服务器,而是 利用了Web生态中浏览器、用户和服务器之间复杂的信任关系被滥用;防御的关键不是 单点修补,而是 重构信任边界,向“零信任”模型迈进。
xss-maps(1-12)尝试思路过关加源码分析
2401_88381079的博客
11-25 137
本文介绍了XSS漏洞靶场的实战过程,通过12个关卡逐步演示XSS攻击技巧。从基础的<script>alert(1)</script>注入开始,到利用HTML实体编码、事件处理器(onclick/onmouseover)、伪协议(javascript:)、大小写/双写绕过等高级技巧。重点分析了服务器端过滤机制(如htmlspecialchars()、str_replace)及对应的绕过方法,包括修改HTTP头(Referer/User-Agent)实现注入。每个关卡都通过修改参数值、观
基于遗传算法的新的异构分布式系统任务调度算法研究(Matlab代码实现)
11-26
基于遗传算法的新的异构分布式系统任务调度算法研究(Matlab代码实现)内容概要:本文档围绕基于遗传算法的异构分布式系统任务调度算法展开研究,重点介绍了一种结合遗传算法的新颖优化方法,并通过Matlab代码实现验证其在复杂调度问题中的有效性。文中还涵盖了多种智能优化算法在生产调度、经济调度、车间调度、无人机路径规划、微电网优化等领域的应用案例,展示了从理论建模到仿真实现的完整流程。此外,文档系统梳理了智能优化、机器学习、路径规划、电力系统管理等多个科研方向的技术体系实际应用场景,强调“借力”工具创新思维在科研中的重要性。; 适合人群:具备一定Matlab编程基础,从事智能优化、自动化、电力系统、控制工程等相关领域研究的研究生及科研人员,尤其适合正在开展调度优化、路径规划或算法改进类课题的研究者; 使用场景及目标:①学习遗传算法及其他智能优化算法(如粒子群、蜣螂优化、NSGA等)在任务调度中的设计实现;②掌握Matlab/Simulink在科研仿真中的综合应用;③获取多领域(如微电网、无人机、车间调度)的算法复现创新思路; 阅读建议:建议按目录顺序系统浏览,重点关注算法原理代码实现的对应关系,结合提供的网盘资源下载完整代码进行调试复现,同时注重从已有案例中提炼可迁移的科研方法创新路径。
25页PPT-特权访问安全解决方案(奇安信).pptx
11-26
25页PPT-特权访问安全解决方案(奇安信)
微电网创新点基于非支配排序的蜣螂优化算法NSDBO求解微电网多目标优化调度研究(Matlab代码实现)
最新发布
11-26
【微电网】【创新点】基于非支配排序的蜣螂优化算法NSDBO求解微电网多目标优化调度研究(Matlab代码实现)内容概要:本文提出了一种基于非支配排序的蜣螂优化算法(NSDBO),用于求解微电网多目标优化调度问题。该方法结合非支配排序机制,提升了传统蜣螂优化算法在处理多目标问题时的收敛性和分布性,有效解决了微电网调度中经济成本、碳排放、能源利用率等多个相互冲突目标的优化难题。研究构建了包含风、光、储能等多种分布式能源的微电网模型,并通过Matlab代码实现算法仿真,验证了NSDBO在寻找帕累托最优解集方面的优越性能,相较于其他多目标优化算法表现出更强的搜索能力和稳定性。; 适合人群:具备一定电力系统或优化算法基础,从事新能源、微电网、智能优化等相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①应用于微电网能量管理系统的多目标优化调度设计;②作为新型智能优化算法的研究改进基础,用于解决复杂的多目标工程优化问题;③帮助理解非支配排序机制在进化算法中的集成方法及其在实际系统中的仿真实现。; 阅读建议:建议读者结合Matlab代码深入理解算法实现细节,重点关注非支配排序、拥挤度计算和蜣螂行为模拟的结合方式,并可通过替换目标函数或系统参数进行扩展实验,以掌握算法的适应性调参技巧。
物联网基于ESP32MQTT的温湿度监控系统设计:小程序端实时数据显示历史趋势分析
11-26
内容概要:本文介绍了一个基于ESP32、MQTT协议和微信小程序的温湿度远程监控系统,涵盖硬件端(ESP32DHT系列传感器)、云端(MQTT消息 broker)以及小程序前端的完整实现方案。系统通过ESP32采集温湿度数据,利用WiFi连接将数据经由MQTT协议发布至服务器;小程序订阅相应主题,实现实时数据显示、历史趋势绘图、设备状态监测等功能,并支持手动刷新断线自动重连机制。代码示例包括ESP32的WiFiMQTT连接、传感器数据读取上传,以及小程序的页面结构、逻辑控制和图表绘制。系统具备良好的可扩展性和实用性,适用于物联网远程监控场景。; 适合人群:具备嵌入式开发基础和前端开发经验,熟悉C++和JavaScript语言,从事物联网项目开发1-3年的工程师或爱好者; 使用场景及目标:①实现对环境温湿度的远程实时监控;②学习MQTT协议在物联网通信中的应用;③掌握ESP32微信小程序的联动开发方法;④构建完整的前后端一体化物联网解决方案; 阅读建议:建议读者结合硬件实际操作,部署MQTT服务器并调试通信流程,重点关注数据格式一致性、网络稳定性处理及小程序图表性能优化,同时注意启用TLS加密以提升系统安全性。
JSP表单验证国际化实现示例
本案例介绍如何利用Java Server Pages (JSP) 技术来实现一个具有国际化支持的表单验证功能。在深入知识内容前,我们首先明确几个关键概念,包括JSP、表单验证、国际化(i18n)。 JSP(Java Server Pages)是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值