4

我知道这个问题已经被问了一遍又一遍,但我仍然没有找到我喜欢的完美答案,所以又来了……

我一直在阅读很多关于 CI 的 xss_filter 的两极分化评论。基本上大多数人说这很糟糕。有人可以详细说明它有多糟糕,或者至少给出一种最可能的情况来利用它吗?我查看了 CI 2.1 中的安全类,我认为它非常好,因为它不允许像 document.cookie、document.write 等恶意字符串。

如果该站点基本上具有非 html 演示文稿,那么在插入数据库之前使用全局 xss_filter 是否安全(或者如果它真的对性能影响很大,请在每个表单发布的基础上使用它)?我一直在阅读关于是否以大多数人在输入/输出上转义的利弊说我们应该只在输出上转义。但是话又说回来,为什么要允许将字符串之类的字符串<a href="javascript:stealCookie()">Click Me</a>保存在数据库中呢?

我不喜欢的一件事是javascript:,这样将被转换为[removed]. 我可以扩展 CI 的安全核心$_never_allowed_str数组,以使不允许的字符串返回空而不是[removed].

我读过的最合理的错误行为示例是,如果用户有密码,javascript:123它将被清除[removed]123,这意味着像这样的字符串document.write123也将作为用户密码传递。再说一次,发生这种情况的可能性有多大,即使发生这种情况,我也想不出会对网站造成任何真正的伤害。

谢谢

4

1 回答 1

4

基本上 XSS 是一个 OUTPUT 问题 - 但 Codeigniter 将其视为 INPUT 问题。

谁能详细说明它的坏处...

问题是 xss_clean 改变了您的 INPUT - 这意味着在某些情况下(例如您描述的密码问题)输入不是预期的。

...或者至少给出 1 个最有可能被利用的场景?

它只查找某些关键字,例如“javascript”。xss_clean 没有检测到其他脚本操作,而且它不会保护您免受任何“新”攻击。

我不喜欢的一件事是 javascript: 并将其转换为 [removed]。我可以扩展 CI 的安全核心 $_never_allowed_str 数组,以便永远不允许的字符串返回空而不是 [已删除]

你可以这样做——但你只是在一个糟糕的解决方案上贴了一个创可贴。

我一直在阅读关于是否以大多数人在输入/输出上转义的利弊说我们应该只在输出上转义。

这是正确的答案 - 转义所有输出,并且您拥有真正的 XSS 保护,而无需更改输入。

OWASP 在这里解释了更多关于 XSS 的信息

在 XSS 上查看一个好的 Codeigniter 论坛主题

就我个人而言,我在 Codeigniter 中保护 XSS 的方法是不对输入进行任何 XSS 清理。我在 _output 上运行了一个钩子——它清除了我所有的“view_data”(这是我用来向视图发送数据的变量)。

如果我不希望 XSS Clean 运行,我可以通过在我的控制器中插入“$view_data['clean_output'] = false” 来切换,钩子会检查它:

if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))
   {
    // Apply to all in the list
    $this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);
   }

这为我的整个站点提供了自动和完整的 XSS 保护——只需几行代码,并且不会影响性能。

于 2012-06-07T05:56:02.720 回答