6

所以我有一个网站,用户可以使用他们选择的用户名进行注册,并且可以提交大量文本并添加评论。目前,为了避免 XSS,我在输入到数据库的数据上使用 strip_tags,我只在正文中输出数据,而不是在属性中。我目前正在对该站点进行更改,其中之一是创建一个用户页面,当有人单击用户名(链接)时加载该页面。这看起来像:

<a href="example.com/user/<?php echo $username; ?>">...</a>

我担心对于 $username 变量,有人可能会插入

<a href="example.com/user/user" onClick="javascript:alert('XSS');">...</a>

我已经阅读了很多关于此的其他 SO 帖子,但没有一个给出黑白答案。如果我在输出上的所有文本上使用以下内容,除了输入上的 strip_tags:

echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

这是否足以阻止所有 XSS 攻击,包括那些使用内联javascript:语法的攻击?

另外,有什么方法可以删除实际的 html 标签而不删除“我>你”之类的东西?

谢谢!

4

2 回答 2

3

根据 PHP5 认证学习指南,关于安全性有两条黄金法则:

  1. 过滤器输入
  2. 转义输出

目前,您只关注问题的一方面。

但我更喜欢htmlentities。

于 2011-08-15T00:12:19.480 回答
1

转义取决于上下文。如果是 URL,请使用 URL 编码 (%xx),但还要检查完整的 URL 是否以“javascript:”开头。您的 onclick-attribute 语法不是必需的。Onclick 是一个 javascript 事件处理程序,因此其中的任何 javascript 都会运行。

请参阅 OWASP XSS 预防备忘单,了解如何针对不同的上下文进行转义。

于 2011-08-16T16:04:58.493 回答