0

我在网上有一些关于 XSS 攻击预防的文章,但我没有找到任何解决方案:

htmlspecialchars(mb_convert_encoding($value, "UTF-8", "UTF-8"),ENT_QUOTES,'UTF-8')

或者

json_encode($value, JSON_HEX_QUOT|JSON_HEX_TAG|JSON_HEX_AMP|JSON_HEX_APOS);

或者干脆strip_tags
此刻,每当我需要检索和显示一些信息时,我都会使用这些方法,除了消息,因为它破坏了格式


我需要做的是防止这种情况下的 XSS 攻击:

  • 我有一个上传表单,如果有任何错误,它会返回名称并提醒它;

    echo '<script>parent.noty({text: "File Name:'.json_encode($_FILES['filename']['name'][$i]).' Error Code:'.$_FILES['filename']['error'][$i].'",type:"error",timeout:9000});</script>';

  • 用户可以编写可以包含h​​tml标签的消息,例如脚本一,我需要保留它:我使用ckeditor编写新消息,当我检索消息时我需要主要格式(

    ...) 保留并使脚本部分无臂

此时我返回我使用的文件名json_encode,但我不确定
编辑
从评论中我得到的可能性并不多,所以我想知道为什么这些方法不可靠
编辑
这是如何我检索消息:

$query = "SELECT 
                    a.enc_id,
                    IF(b.department_name IS NOT NULL, b.department_name,'Unknown'),
                    IF(c.name IS NOT NULL, c.name,IF(a.ticket_status='2','Not Assigned','Unknown'),
                    a.title,
                    CASE a.priority WHEN '0' THEN 'Low' WHEN '1' THEN 'Medium' WHEN '2' THEN 'High' WHEN '3' THEN 'Urgent' WHEN '4' THEN 'Critical' ELSE priority  END,
                    a.created_time,
                    a.last_reply,
                    CASE a.ticket_status WHEN '0' THEN '<span class=\'label label-success\'>Closed</span>' WHEN '1' THEN '<span class=\'label label-important\'>Open</span>' WHEN '2' THEN '<span class=\'label label-warning\'>To Assign</span>' WHEN '3' THEN '<span class=\'label label-important\'>Reported</span>' ELSE 'Error' END 
                FROM ".$SupportTicketsTable." a
                LEFT JOIN ".$SupportDepaTable." b
                    ON  b.id=a.department_id
                LEFT JOIN ".$SupportUserTable." c
                    ON c.id=a.operator_id
                WHERE a.user_id=".$_SESSION['id']." 
                ORDER BY a.last_reply DESC 
                LIMIT 350";
        $STH = $DBH->prepare($query);
        $STH->execute();
        $list=array('response'=>'ret','tickets'=>array('user'=>array()));
        $STH->setFetchMode(PDO::FETCH_ASSOC);
        $a = $STH->fetch();
        if(!empty($a)){
            do{
                $list['tickets']['user'][]=array('id'=>$a['enc_id'],'dname'=>$a['dname'],'opname'=>$a['opname'],'title'=>htmlspecialchars(mb_convert_encoding($a['title'], "UTF-8", "UTF-8"),ENT_QUOTES,'UTF-8'),'priority'=>$a['prio'],'date'=>$a['created_time'],'reply'=>$a['last_reply'],'status'=>$a['stat']);
            }while ($a = $STH->fetch());
        }
...
echo json_encode($list);
4

1 回答 1

0

在这种特殊情况下,转义内容的正确方法如下:

echo '...{text: "File Name:"+'.json_encode($_FILES['filename']['name'][$i]).'+" Error code...'

这样做的原因是json_encode它将接受任何输入并使其安全地转储到 JavaScript 上下文中。字符串将被引号包围并适当地转义为有效。但是,您必须先关闭现有引号,然后才能连接您的值以使其起作用。

也就是说,我假设将此文本放入页面的函数将使用类似document.createTextNode(arguments[0].text);创建文本节点的东西,而不是 HTML 上下文。

于 2013-08-29T16:53:19.283 回答