DOM XSS 和 Javascript 转义

Question

我正在浏览所有 OWASP 规则以防止基于 DOM 的 XSS，并尝试全面了解每条规则。我有点坚持这条规则：

“规则 #2 - 在执行上下文中将不受信任的数据插入 HTML 属性子上下文之前的 JavaScript 转义”

看这里：

https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet#RULE_.232_-_JavaScript_Escape_Before_Inserting_Untrusted_Data_into_HTML_Attribute_Subcontext_within_the_Execution_Context

问题是前端“javascript转义”时不知道用什么方法？我知道这不是一个很可能的用例，因为大多数前端开发人员通常会首先避免将不受信任的数据插入到 html 属性中，但尽管如此，我还是想通过准确理解这个规则来完全理解这个规则的含义逃生方法应该是。人们通常在前端使用一种简单的 javascript 转义方法吗？谢谢！

---

编辑：我在 stackoverflow 上找到的其他答案都提到了 html 转义符。我正在专门寻找一个 javascript 转义器，我想知道为什么 owasp 专门使用术语“javascript 转义器”，如果正如某些人所建议的那样，一个 html 转义器就足够了。

也许这个问题也可以表述为“在 OWASP 的 DOM Based XSS 备忘单的上下文中，html 转义和 javascript 转义有什么区别？请举一个 javascript 转义的例子。

Answer 1

所需的转义取决于插入值的上下文。使用错误的转义可能会允许在一个上下文中使用特殊字符，在不同的上下文中不是特殊字符，或者破坏值。

JavaScript 转义适用于通过服务器端模板语言直接插入 JavaScript 字符串文字的值。

所以他们的例子是：

x.setAttribute("value", '<%=Encoder.encodeForJS(companyName)%>');

在这里，companyName 的值被插入到脚本中，并用单引号括起来，使其成为 JavaScript 字符串文字。这里的特殊字符是引号、换行符和一些 unicode 空白字符。这些应转换为 JavaScript 转义序列。所以引号将变为\x27，而不是HTML 实体'。如果您要使用 HTML 编码，那么引号字符将显示为 '，而换行符将导致语法错误。 JavaScript 编码可以在 Java 中使用 encodeForJavaScript 完成，或者在 PHP 中使用 json_encode 完成。

它被插入到一个 JavaScript 值中，所以它应该是 JavaScript 编码的。人们习惯于 HTML 编码属性，但这仅在直接插入 HTML 时才有意义，而不是在使用 setAttribute DOM 方法时。所需的编码就像它一样：

var x = '<%=Encoder.encodeForJS(companyName)%>';

该属性不需要进行 HTML 编码，因为它不在 HTML 上下文中。将值直接插入到如下属性时需要 HTML 编码：

<input value='<%=Encoder.encodeForHTML(companyName)%>'>