反混淆腳本

Ⅰ JS加密混淆後安全嗎

嚴格不能叫加密只是混淆替換了所有的變數名。腳本語言混淆只是可讀性變差了。但是高手會用chrome或者ff的console去調試你的JS所以，安全是相對來說的。。。

Ⅱ shell腳本中 的 單引號和反引號經常混淆，請高手幫我區別它們的功能，謝謝

單引號原樣輸出，你可以記為「單調輸出」，如下原樣輸出 eval echo a 這個字元串，很單調吧：
echo 'eval echo a'

反引號執行內容後輸出，可以記為「反譯輸出」，要把引號中的內容反向翻譯一下，如下要執行反綽號中的內容 eval echo a，得到 a，再執行 echo，最終輸出 a：
echo `eval echo a`

Ⅲ 代碼混淆器打亂代碼的編譯結果有辦法破解掉嗎

應該可以 ，混淆器只是增加了反編譯的難度也而已

Ⅳ 代碼反平庸嗎

代碼反混淆（deobfuscation）和代碼混淆（obfuscation）對應，是其逆過程。維基網路將代碼混淆定義為故意生成人類難以理解的源代碼或機器碼的過程（"In software development, obfuscation is the deliberate act of creating source or machine code that is difficult for humans to understand."）。代碼反混淆可以理解為將原本人類難以理解的代碼轉化為簡單的、可理解的、直觀的代碼的過程。

這篇文章主要介紹一下
"Big Code" 在代碼反混淆領域的應用。更具體一點就是介紹一下提出 "JSNice" 和 "Deguard"
的兩篇文章，這兩篇文章雖然已經發錶快五年了，但至今沒有文章Follow這兩份工作，因為文章已經將使用 "Big Code"
做代碼命名反混淆做到了極致。後來的人無法在這個問題上推陳出新，脫穎而出。

"Big Code"： 代碼託管網站如GitHub上的大量免費可用的高質量代碼被稱為 "Big Code" ，這些數據結合統計推理或深度學習為新興的開發工具的出現提供了契機。

概率圖模型：概率圖模型是用圖來表示變數概率依賴關系的理論，結合概率論與圖論的知識，利用圖來表示與模型有關的變數的聯合概率分布。

問題

為了項目的安全，開發者在打包發布項目時會對代碼進行混淆加密，包括但不限於用無意義的短變數去重命名類、變數、方法，以免代碼被輕易破解泄露。另外由於JS腳本主要用於Web開發，對其進行混淆還能壓縮腳本的大小，使得瀏覽器下載、載入更加快速，提升用戶的瀏覽體驗。

這一類通過對類、變數、方法重命名的混淆方案確實能加大其他開發者對代碼的理解難度。其他開發者不幹了，為了能方便理解他人混淆後的代碼，學習（抄襲）他人的經驗，針對這一類混淆方法的反混淆方法也應運而生。

下面先展示一下安卓APP的代碼混淆技術：

其他元素，比如類名，Feilds名稱的不等約束比較簡單，直接處理就行。

所有不等約束以集合 表示， ， 中任意兩個節點的名稱必須不一樣。

注意這個約束只用與預測階段，因為訓練數據（未混淆）本身滿足這些約束。很容易可以把這些約束結合到JSNice的演算法1中。

Deguard的概率圖優化演算法和JSNice也不一樣，採用的是pseudo likelihood estimation。具體闡述推薦閱讀文章[3]。

值得注意的是，為什麼JSNice就沒有Deguard中提到的相等約束和不等約束，筆者個人認為還是由問題和語言特性共同決定，JSNice的名稱預測其實只預測了局部變數，而JS的語言特性導致其本身不需要檢測局部變數的名稱沖突，只有執行結果報錯才會說明程序出錯。也就是說其實JS本身語言特性就沒有這類約束，自然不需要建模。

Ⅳ 如何寫一個腳本，在手機上運行

第一種：破解apk，提取dex，反編譯jar，反混淆，瀏覽幾十個class文件尋找接單api，不停查找代碼然後自己再用java寫一個安卓應用後台運行
第二種：連點器

Ⅵ android集成分享sdk後怎麼代碼混淆

為了保護代碼被反編譯，android引入了混淆代碼的概念
1.設置混淆
在工程下找到project.properties文件
在文件中加入proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt這個是系統的
也可以用自己的混淆文件（這樣就可以配置一些自己的東西），去sdk.dir}/tools/proguard/ 下復制proguard-android.txt文件到本地工程中
然後設置成proguard.config=proguard-android.txt
project.properties文件:
[java] view plain

#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt
proguard.config=proguard-android.txt

# Project target.
target=android-17

-injars androidtest.jar【jar包所在地址】
-outjars out【輸出地址】
-libraryjars 'D:\android-sdk-windows\platforms\android-9\android.jar' 【引用的庫的jar，用於解析injars所指定的jar類】
-optimizationpasses 5
-dontusemixedcaseclassnames 【混淆時不會產生形形色色的類名 】
- 【指定不去忽略非公共的庫類。 】
-dontpreverify 【不預校驗】
-verbose
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/* 【優化】
-keep public class * extends android.app.Activity【不進行混淆保持原樣】
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class com.android.vending.licensing.ILicensingService
-keep public abstract interface com.asqw.android.Listener{
public protected <methods>; 【所有方法不進行混淆】
}
-keep public class com.asqw.android{
public void Start(java.lang.String); 【對該方法不進行混淆】
}
-keepclasseswithmembernames class * { 【保護指定的類和類的成員的名稱，如果所有指定的類成員出席（在壓縮步驟之後）】
native <methods>;
}
-keepclasseswithmembers class * { 【保護指定的類和類的成員，但條件是所有指定的類和類成員是要存在。】
public <init>(android.content.Context, android.util.AttributeSet);
}
-keepclasseswithmembers class * {
public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclassmembers class * extends android.app.Activity {【保護指定類的成員，如果此類受到保護他們會保護的更好 】
public void *(android.view.View);
}
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
-keep class * implements android.os.Parcelable {【保護指定的類文件和類的成員】
public static final android.os.Parcelable$Creator *;
}

=====================================常見異常===================================
參考：http://blog.csdn.net/vrix/article/details/7100841

加入第三方jar包之後常出現的幾個異常：
proguard returned with error code 1.See console
情況1：
Proguard returned with error code 1. See console
Error: C:/Documents (系統找不到指定文件)
後來發現是因為將整個工程放到了桌面上，而桌面的目錄是C:/Documents and Settings/Administrator/桌面，在這裡面有空格，而proguard進行發編譯的時候是不允許有空格的
如果換了正確路徑還不好用的話，直接刪除proguard就好了
注意：SDK和程序路徑最好不要有空格符
情況2：
Proguard returned with error code 1. See console
異常：
java.lang.
解決辦法：將proguard.cfg中的"-dontpreverify"改成「-dontoptimize」
參考文章：http://groups.google.com/group/android-developers/browse_thread/thread/eca3b0f5ce6ad00f

我把項目中生成的proguard文件夾（此時文件夾是空的）刪掉，然後再重新運行項目，就OK 了。
情況3：
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0] Proguard returned with error code 1. See console

[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0] java.io.IOException: Can't read [proguard.ClassPathEntry@106082] (No such file or directory)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.InputReader.readInput(InputReader.java:230)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.InputReader.readInput(InputReader.java:200)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.InputReader.readInput(InputReader.java:178)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.InputReader.execute(InputReader.java:100)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.ProGuard.readInput(ProGuard.java:195)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.ProGuard.execute(ProGuard.java:78)
[2011-10-21 13:22:32 - ZMKSMarket_Build_v1.0]
at proguard.ProGuard.main(ProGuard.java:499)
拋出這樣的異常的原因是第三方jar的引用路徑不對，沒有找到這個需要忽略混淆的jar包。

========================官方文檔翻譯========================================

原文
http://developer.android.com/guide/developing/tools/proguard.html

混淆器(ProGuard)
在本文中(In this document)
Enabling ProGuard
Configuring ProGuard
Decoding Obfuscated Stack Traces
Debugging considerations for published applications
參見
ProGuard Manual ?
ProGuard ReTrace Manual ?
混淆器通過刪除從未用過的代碼和使用晦澀名字重命名類、欄位和方法，對代碼進行壓縮，優化和混淆。結果是一個比較小的.apk文件，該文件比較難進行逆向工程。因此，當你的應用程序對安全敏感（要求高），例如當你授權應用程序的時候，混淆器是一種重要的保護手段。
混淆器被集成在android 構建系統中，所以你不必手動調用它。同時混淆器僅在發布模式下進行構建應用程序的時候才會運行起來，所以在調試模式下構建程序時，你不必處理混淆代碼。讓混淆器運行起來是可選擇的，但是推薦選上。
這個文檔描述了怎樣啟用並配置混淆器，以及使用跟蹤（retrace）工具對混淆的堆棧跟蹤信息（stack traces）進行解碼。

啟用混淆器Enabling ProGuard
當你新建了一個Android工程之後，一個proguard.cfg文件會在工程的根目錄下自動創建。這個文件定義了混淆器是怎樣優化和混淆你的代碼的，所以懂得怎樣根據你的需要來定製是非常重要的。預設的配置文件僅覆蓋到了通常情況，所以根據你的需求，很可能需要編輯它。接下來的內容是關於通過定製混淆器配置文件來對混淆器配置。
為了讓啟用混淆器作為Ant或者Eclipse構建過程中一部分，可以在<project_root>/default.properties文件中，設置proguard.config屬性。路徑可以是絕對路徑或者工程根目錄的相對路徑。
如果你讓proguard.cfg文件在預設位置（工程的根目錄），你可以像這樣指定位置：
proguard.config=proguard.cfg

同樣，你可以把該文件放到任意的位置，並指定它的絕對路徑。
proguard.config=/path/to/proguard.cfg

當你在發布模式下，或者通過運行ant release，或者通過使用Eclipse中的Export Wizard構建你的應用程序的時候，構建系統都會自動地去檢查proguard.config屬性是否被設置了。如果被設置了，混淆器在把所有東西打包成.apk文件之前，自動地對應用程序位元組碼進行混淆處理。而在調試模式中構建則不會調用混淆器，因為那樣調試會更加繁重。

運行混淆器之後輸出的文件有：
mp.txt
描述.apk包中所有class文件的內部結構。
mapping.txt

列出了源代碼與混淆後的類，方法和屬性名字之間的映射。這個文件對於在構建之後得到的bug報告是有用的，因為它把混淆的堆棧跟蹤信息反翻譯為源代碼中的類，方法和成員名字。更多信息，查看解碼混淆過的堆棧跟蹤信息。

seeds.txt
列出那些未混淆的類和成員。
usage.txt
列出從.apk中剝離的代碼。
這些文件放在以下目錄中：

注意：每次在發布模式下構建時，這些文件都會被最新的文件覆蓋。所以每次發布程序時候，為了反混淆來自構建時產生的bug報告，請保存這些文件的一個拷貝。對於為什麼要保存這些文件的重要性的更多信息，請查看程序發布調試注意事項。

混淆器配置（proguard config）
某些情況下，proguard.cfg文件的預設配置可以滿足需求了。但是，對於混淆器來說，大多數情況做出正確的分析是困難的，並且它或許會刪除在它看來是無用的，但對於程序來說卻確實需要的代碼。一些例子如下：

一個僅引用於AndroidManifest.xml文件的類。
一個通過JNI調用的方法。
動態引用的屬性和方法。
<project_root>/bin/proguard 當你使用Ant時
<project_root>/proguard 當你使用Eclipse時

解碼混淆過的堆棧跟蹤信息（Decoding Obfuscated Stack Traces）
當混淆代碼並輸出了一個堆棧調試信息時，這些方法名字是混淆過的，雖然可以進行調試，但是調試變得困難。幸運的是，每當混淆器運行時候，它都會輸出到文件<project_root>/bin/proguard/mapping.txt中，該文件包含了從原始類，方法和屬性名字到混淆後名字的映射。
Windows系統中retrace.bat腳本命令或者Linux和Mac OS X系統中retrace.sh腳本命令能把混淆後的堆棧調試信息轉換為可以理解的文件。它被放在<sdk_root>/tools/proguard/目錄下。運行retrace工具的命令語法是：
retrace.bat|retrace.sh [-verbose] mapping.txt [<stacktrace_file>]

例如：
retrace.bat -verbose mapping.txt obfuscated_trace.txt

如果你沒有為<stracktrace_file>指定值，那麼retrace工具從標准輸入讀取。

已發布應用程序的調試注意事項(Debugging considerations for published applications)
保存好每一個已發布給用戶的程序的mapping.txt文件。通過保存發布構建版本的mapping.txt文件拷貝，確保當用戶碰到bug，並把混淆後的堆棧調試跟蹤信息提交給你時，你可以進行調試從而修復問題。程序的mapping.txt文件在每次發布構建時都會被覆蓋，所以你一定要注意保存正確的版本。
例如，假設你已經發布了一個應用程序並在繼續在新的版本中開發添加新的功能。接著你馬上啟動混淆器並創建一個新的發布版本。該操作把mapping.txt文件覆蓋了。一個用戶提交了來自當前發布版本的bug報告，該報告包含了堆棧調試信息。你再也不能對用戶的堆棧信息進行調試了，因為這個對應用戶本機上版本的mapping.txt文件不存在了。其他覆蓋mapping.txt文件的情況還有很多，所以對於每一個可能需要調試的版本，你都要確保有一份拷貝。

Ⅶ Android 開發怎樣做代碼加密或混淆

android代碼的混淆和加密：
通常來說Proguard對一般用途來說足夠了，但是也需要注意一些程序風格，增強proguard的效果。
1、 特定類的public函數不做實際的事情，只做簡單處理後調用private函數。proguard對會對一些特定類的public函數不做混淆，以便被AndroidManifest.xml和各種layout引用。
2、會被AndroidMinifest.xml和layout引用的類放在淺層的包中，需要隱藏的類放在較深處，以便proguard混淆包名帶來好處。如果一個包中有需要不混淆的內容，則整個包名都不會被混淆。
3、將函數根據功能分細切短也會有些益處。當然如果隱藏代碼的要求比較高，還是用native好了。

望採納！！

Ⅷ 腳本和插件的區別

1. 擴展(Extensions)，擴展是一種具有一些新功能的載入項，在 Firefox 擴展中心（https://addons.mozilla.org）上有著豐富的優秀擴展，相信 Firefox 擴展強大的功能會讓你再也離不開 Firefox，你可以根據個人需求來安裝適合個人需求的擴展。

2. 插件(Plugins)，初學者最容易把擴展和插件混淆了，通俗的講，擴展是基於 Firefox 本身增加的一些實用功能，而插件則是在 Firefox 之外獨立編寫的程序，用於顯示網頁中的特定內容，比如 Flash，上傳插件，網銀插件和 Java 等。插件是安裝在系統中的，火狐只是調用，在 附加組件-插件 中顯示即是取自系統各文件夾中的插件。

3. 用戶樣式(Userstyles)，我們可以利用它來定製目標網頁或網站的css樣式，甚至一些Firefox 擴展的樣式，讓瀏覽效果更加舒適。而且在 UserStyles 網站上已經有不少現成的樣式可供下載，讓不會寫css的普通用戶也可以享受到它的便利。用戶樣式的修改通過 Stylish 這個擴展實現，安裝擴展後，「附加組件」頁面就會出現「用戶樣式」的標簽，在瀏覽網頁時，點擊工具欄上的 Stylish 圖標，即可搜索適用於這個網站的用戶樣式，是不是很方便？

4. 用戶腳本(Userscripts)，能通過腳本來增強被訪問網頁，能使你訪問的網站更便於閱讀或者更便於使用。配合 Greasemonkey 這個擴展使用。在 GreasyFork 上有許多用戶分享的用戶腳本，打開腳本的安裝頁面，點擊 「Install」 按鈕就可以完成安裝了。

之後的文章里會分享一些常用的用戶樣式(Userstyles)和用戶腳本(Userscripts)

5. UC腳本(UserchromeJS)，區別於用戶腳本，UC腳本可以針對於火狐瀏覽器進行定製來實現效果，而用戶腳本的功能只能針對網頁頁面，UC腳本可以代替某些用戶腳本和某些拓展，而UC腳本的優勢在於它是輕量級的。在 Github 上有許多開發者發布的UC腳本。

Ⅸ android如何將混淆代碼還原

當混淆後的代碼輸出一個堆棧信息時，方法名是不可識別的，這使得調試變得很困難，甚至是不可能的。幸運的是，當ProGuard運行時，它都會輸出一個<project_root>/bin/proguard/mapping.txt文件，而這個文件中包含了原始的類，方法和欄位名被映射成的混淆名字。

retrace.bat腳本（Window）或retrace.sh腳本（Linux，Mac OS X）可以將一個被混淆過的堆棧跟蹤信息還原成一個可讀的信息。它位於<sdk_root>/tools/proguard文件夾中。執行retrace工具的語法如下：
retrace.bat|retrace.sh [-verbose] mapping.txt [<stacktrace_file>]

例如：
retrace.bat -verbose mapping.txt obfuscated_trace.txt
如果你沒有指定<stacktrace_file>，retrace工具會從標准輸入讀取。

Ⅹ 如何防範XSS跨站腳本攻擊測試篇

不可信數據 不可信數據通常是來自HTTP請求的數據，以URL參數、表單欄位、標頭或者Cookie的形式。不過從安全形度來看，來自資料庫、網路伺服器和其他來源的數據往往也是不可信的，也就是說，這些數據可能沒有完全通過驗證。 應該始終對不可信數據保持警惕，將其視為包含攻擊，這意味著在發送不可信數據之前，應該採取措施確定沒有攻擊再發送。由於應用程序之間的關聯不斷深化，下游直譯程序執行的攻擊可以迅速蔓延。 傳統上來看，輸入驗證是處理不可信數據的最好辦法，然而，輸入驗證法並不是注入式攻擊的最佳解決方案。首先，輸入驗證通常是在獲取數據時開始執行的，而此時並不知道目的地所在。這也意味著我們並不知道在目標直譯程序中哪些字元是重要的。其次，可能更加重要的是，應用程序必須允許潛在危害的字元進入，例如，是不是僅僅因為SQL認為Mr. O'Malley名字包含特殊字元他就不能在資料庫中注冊呢? 雖然輸入驗證很重要，但這始終不是解決注入攻擊的完整解決方案，最好將輸入攻擊作為縱深防禦措施，而將escaping作為首要防線。 解碼(又稱為Output Encoding) 「Escaping」解碼技術主要用於確保字元作為數據處理，而不是作為與直譯程序的解析器相關的字元。有很多不同類型的解碼，有時候也被成為輸出「解碼」。有些技術定義特殊的「escape」字元，而其他技術則包含涉及若干字元的更復雜的語法。 不要將輸出解碼與Unicode字元編碼的概念弄混淆了，後者涉及映射Unicode字元到位序列。這種級別的編碼通常是自動解碼，並不能緩解攻擊。但是，如果沒有正確理解伺服器和瀏覽器間的目標字元集，有可能導致與非目標字元產生通信，從而招致跨站XSS腳本攻擊。這也正是為所有通信指定Unicode字元編碼(字元集)(如UTF-8等)的重要所在。 Escaping是重要的工具，能夠確保不可信數據不能被用來傳遞注入攻擊。這樣做並不會對解碼數據造成影響，仍將正確呈現在瀏覽器中，解碼只能阻止運行中發生的攻擊。 注入攻擊理論 注入攻擊是這樣一種攻擊方式，它主要涉及破壞數據結構並通過使用特殊字元(直譯程序正在使用的重要數據)轉換為代碼結構。XSS是一種注入攻擊形式，瀏覽器作為直譯程序，攻擊被隱藏在HTML文件中。HTML一直都是代碼和數據最差的mashup，因為HTML有很多可能的地方放置代碼以及很多不同的有效編碼。HTML是很復雜的，因為它不僅是層次結構的，而且還包含很多不同的解析器(XML、HTML、JavaScript、VBScript、CSS、URL等)。 要想真正明白注入攻擊與XSS的關系，必須認真考慮HTML DOM的層次結構中的注入攻擊。在HTML文件的某個位置(即開發者允許不可信數據列入DOM的位置)插入數據，主要有兩種注入代碼的方式： Injecting UP，上行注入 最常見的方式是關閉現有的context並開始一個新的代碼context，例如，當你關閉HTML屬性時使用">並開始新的 可以終止腳本塊，即使該腳本塊被注入腳本內方法調用內的引用字元，這是因為HTML解析器在JavaScript解析器之前運行。 Injecting DOWN，下行注入 另一種不太常見的執行XSS注入的方式就是，在不關閉當前context的情況下，引入一個subcontext。例如，將改為 ，並不需要躲開HTML屬性context，相反只需要引入允許在src屬性內寫腳本的context即可。另一個例子就是CSS屬性中的expression()功能，雖然你可能無法躲開引用CSS屬性來進行上行注入，你可以採用x ss:expression(document.write(document.cookie))且無需離開現有context。 同樣也有可能直接在現有context內進行注入，例如，可以採用不可信的輸入並把它直接放入JavaScript context。這種方式比你想像的更加常用，但是根本不可能利用escaping(或者任何其他方式)保障安全。從本質上講，如果這樣做，你的應用程序只會成為攻擊者將惡意代碼植入瀏覽器的渠道。 本文介紹的規則旨在防止上行和下行XSS注入攻擊。防止上行注入攻擊，你必須避免那些允許你關閉現有context開始新context的字元;而防止攻擊跳躍DOM層次級別，你必須避免所有可能關閉context的字元;下行注入攻擊，你必須避免任何可以用來在現有context內引入新的sub-context的字元。 積極XSS防禦模式 本文把HTML頁面當作一個模板，模板上有很多插槽，開發者允許在這些插槽處放置不可信數據。在其他地方放置不可信數據是不允許的，這是「白名單」模式，否認所有不允許的事情。 根據瀏覽器解析HTML的方式的不同，每種不同類型的插槽都有不同的安全規則。當你在這些插槽處放置不可信數據時，必須採取某些措施以確保數據不會「逃離」相應插槽並闖入允許代碼執行的context。從某種意義上說，這種方法將HTML文檔當作參數化的資料庫查詢，數據被保存在具體文職並與escaping代碼context相分離。 本文列出了最常見的插槽位置和安全放置數據的規則，基於各種不同的要求、已知的XSS載體和對流行瀏覽器的大量手動測試，我們保證本文提出的規則都是安全的。 定義好插槽位置，開發者們在放置任何數據前，都應該仔細分析以確保安全性。瀏覽器解析是非常棘手的，因為很多看起來無關緊要的字元可能起著重要作用。 為什麼不能對所有不可信數據進行HTML實體編碼? 可以對放入HTML文檔正文的不可行數據進行HTML實體編碼，如 標簽內。也可以對進入屬性的不可行數據進行實體編碼，尤其是當屬性中使用引用符號時。但是HTML實體編碼並不總是有效，例如將不可信數據放入 directlyinascript insideanHTMLcomment inanattributename <...NEVERPUTUNTRUSTEDDATAHERE...href="/test"/> inatagname 更重要的是，不要接受來自不可信任來源的JavaScript代碼然後運行，例如，名為「callback」的參數就包含JavaScript代碼段，沒有解碼能夠解決。 No.2 – 在向HTML元素內容插入不可信數據前對HTML解碼 這條規則適用於當你想把不可信數據直接插入HTML正文某處時，這包括內部正常標簽(div、p、b、td等)。大多數網站框架都有HTML解碼的方法且能夠躲開下列字元。但是，這對於其他HTML context是遠遠不夠的，你需要部署其他規則。 ...... ...... 以及其他的HTML常用元素 使用HTML實體解碼躲開下列字元以避免切換到任何執行內容，如腳本、樣式或者事件處理程序。在這種規格中推薦使用十六進制實體，除了XML中5個重要字元(&、<、 >、 "、 ')外，還加入了斜線符，以幫助結束HTML實體。 &-->& <-->< >-->> "-->" '-->''isnotrecommended /-->/ ESAPI參考實施 Stringsafe=ESAPI.encoder().encodeForHTML(request.getParameter("input")); No.3 – 在向HTML常見屬性插入不可信數據前進行屬性解碼 這條規則是將不可信數據轉化為典型屬性值(如寬度、名稱、值等)，這不能用於復雜屬性(如href、src、style或者其他事件處理程序)。這是及其重要的規則，事件處理器屬性(為HTML JavaScript Data Values)必須遵守該規則。 content insidesinglequotedattribute 除了字母數字字元外，使用小於256的ASCII值&#xHH格式(或者命名的實體)對所有數據進行解碼以防止切換屬性。這條規則應用廣泛的原因是因為開發者常常讓屬性保持未引用，正確引用的屬性只能使用相應的引用進行解碼。未引用屬性可以被很多字元破壞，包括[space] % * + , - / ; < = > ^ 和 |。 ESAPI參考實施 String safe = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( "input" ) ); No.4 – 在向HTML JavaScript Data Values插入不可信數據前，進行JavaScript解碼 這條規則涉及在不同HTML元素上制定的JavaScript事件處理器。向這些事件處理器放置不可信數據的唯一安全位置就是「data value」。在這些小代碼塊放置不可信數據是相當危險的，因為很容易切換到執行環境，因此請小心使用。