如何在用户生成的 HTML 中防止 Javascript 注入攻击
[英]How to prevent Javascript injection attacks within user-generated HTML
问题描述
我正在保存用户提交的 HTML(在数据库中)。 我必须防止 JavaScript 注入攻击。 我见过的最有害的是style="expression(...)" JavaScript。
除此之外,相当多的有效用户内容将包括特殊字符和 XML 结构,因此我希望尽可能避免使用白名单方法。 (列出每个允许的 HTML 元素和属性)。
JavaScript 攻击字符串示例:
1.
"Hello, I have a
<script>alert("bad!")</script>
problem with the <dog>
element..."
"Hi, this <b
style="width:expression(alert('bad!'))">dog</b>
is black."
有没有办法阻止这样的 JavaScript,而其余部分完好无损?
到目前为止,我唯一的解决方案是使用正则表达式来删除某些模式。 它解决了情况 1,但不解决了情况 2。
环境本质上是 Microsoft 堆栈:
- SQL Server 2005
- C# 3.5 (ASP.NET)
- JavaScript 和 jQuery。
我希望阻塞点是 ASP.NET 层 - 任何人都可以制作错误的 HTTP 请求。
编辑
谢谢大家的链接。 假设我可以定义我的列表(内容会包含很多数学和编程结构,所以白名单会很烦人),我还有一个问题:
什么样的解析器可以让我删除“坏”部分? 不好的部分可能是整个元素,但是那些驻留在属性中的脚本呢? 我不能随意删除< a hrefs > 。
7 个解决方案
解决方案1
44 已采纳 2009-06-02 21:35:40
你认为是这样吗? 看看这个。
无论你采取什么方法,你肯定需要使用白名单。 这是对您在网站上允许的内容接近安全的唯一方法。
编辑:
不幸的是,我不熟悉 .NET,但您可以查看 stackoverflow 自己与 XSS 的战斗( https://blog.stackoverflow.com/2008/06/safe-html-and-xss/ )以及当时的代码用于解析发布在此站点上的 HTML: Archive.org 链接- 显然您可能需要更改此设置,因为您的白名单更大,但这应该可以帮助您入门。
解决方案2
8 2009-06-02 21:41:10
在我看来,元素和属性的白名单是唯一可以接受的选择。 任何不在您的白名单上的东西都应该被删除或编码(将 <>&" 更改为实体)。另外一定要检查您允许的属性中的值。
少一点,你就会面临问题——已知的漏洞利用或将来会发现的漏洞。
解决方案3
4 2017-09-13 12:13:13
目前最好的选择是使用这样的内容安全策略标头:
Content-Security-Policy: default-src 'self';
这将阻止加载内联和外部脚本、样式、图像等,因此浏览器只会加载和执行来自同一来源的资源。
但是,它不适用于旧浏览器。
解决方案4
4 2009-06-02 21:50:13
唯一真正安全的方法是使用白名单。 对所有内容进行编码,然后将允许的代码转换回。
我已经看到相当先进的尝试只禁止危险代码,但它仍然不能很好地工作。 尝试安全地捕捉任何人能想到的一切是相当了不起的,并且很容易对一些根本不危险的东西进行烦人的替换。
解决方案5
3 2009-06-02 21:45:11
基本上,正如 Paolo 所说,您应该尝试关注用户被允许做的事情,而不是试图过滤掉他们不应该做的事情。
保留允许的 HTML 标签列表(例如 b、i、u...)并过滤掉其他所有内容。 您可能还想删除允许的 HTML 标记的所有属性(例如,因为您的第二个示例)。
另一种解决方案是引入所谓的 BB 代码,这是很多论坛使用的。 它的语法与 HTML 相似,但首先是允许代码白名单的想法,然后将其转换为 HTML。 例如, [b]example[/b] 将导致example 。 确保在使用 BB 代码时仍然预先过滤掉 HTML 标签。
解决方案6
0 2009-06-02 21:41:52
您使用的是什么服务器端代码? 您可以通过多种方式或方法过滤掉恶意脚本,但这是危险的领域。 即使是经验丰富的专业人士也会被抓到: http : //www.codinghorror.com/blog/archives/001167.html
解决方案7
-4 2015-01-28 06:42:58
您可以使用此限制功能。
function restrict(elem){
var tf = _(elem);
var rx = new RegExp;
if(elem == "email"){
rx = /[ '"]/gi;
}else if(elem == "search" || elem == "comment"){
rx = /[^a-z 0-9.,?]/gi;
}else{
rx = /[^a-z0-9]/gi;
}
tf.value = tf.value.replace(rx , "" );
}
HTML / Javascript:我应该编码,转义或清除用户生成的alt属性字符串( <img/> 标签)?
[英]HTML / Javascript: Should I encode, escape, or sanitize user-generated strings for alt attributes (<img/> tags)?
转义用于 javascript 的 Qualtrics 管道文本(更一般地说,如何安全地转义用户生成的文本)
[英]Escaping Qualtrics piped text for use in javascript (more generally, how to safely escape user-generated text)
JavaScript:如何以秒为单位存储、更新和计算一组用户生成时间中值的平均值和总数
[英]JavaScript: How to store, update, and calculate the average and total number of values in a set of user-generated times in seconds
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何防止JavaScript注入攻击
呈现用户生成的HTML或Java脚本为什么会有危险?
如何防止脚本注入攻击
HTML / Javascript:我应该编码,转义或清除用户生成的alt属性字符串( <img/> 标签)?
转义用于 javascript 的 Qualtrics 管道文本(更一般地说,如何安全地转义用户生成的文本)
JavaScript:如何以秒为单位存储、更新和计算一组用户生成时间中值的平均值和总数
Javascript:处理用户生成脚本的最佳方式
在发帖请求中保留用户生成的HTML的最佳方法?
如何将用户生成的 svg 上传到服务器?
带有用户生成内容的菜单选项
相关标签