如何防止属性中的 XSS
[英]How to prevent XSS in attributes
问题描述
所以我有一个网站,用户可以使用他们选择的用户名进行注册,并且可以提交大量文本并添加评论。 目前,为了避免 XSS,我在输入到数据库的数据上使用 strip_tags,并且我只在正文中使用 output 数据,而不是在属性中。 我目前正在对该站点进行更改,其中之一是创建一个用户页面,当有人单击用户名(链接)时加载该页面。 这看起来像:
<a href="example.com/user/<?php echo $username; ?>">...</a>
我担心对于 $username 变量,有人可能会插入
<a href="example.com/user/user" onClick="javascript:alert('XSS');">...</a>
我已经阅读了很多关于此的其他 SO 帖子,但没有一个给出黑白答案。 如果我在 output 上的所有文本上使用以下内容,除了输入上的 strip_tags:
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
这是否足以阻止所有 XSS 攻击,包括那些使用内联javascript:语法的攻击?
另外,有什么方法可以删除实际的 html 标签而不删除“我>你”之类的东西?
谢谢!
2 个解决方案
解决方案1
3 2011-08-15 00:12:19
根据 PHP5 认证学习指南,关于安全性有两条黄金法则:
- 过滤器输入
- 逃生 output
目前,您只关注问题的一方面。
但我更喜欢htmlentities。
解决方案2
1 已采纳 2011-08-16 16:04:58
Escaping 取决于上下文。 如果是 URL,请使用 URL 编码 (%xx),但还要检查完整的 URL 是否以“javascript:”开头。 您的 onclick-attribute 语法不是必需的。 Onclick 是一个 javascript 事件处理程序,因此其中的任何 javascript 都将运行。
请参阅 OWASP XSS 预防备忘单,了解如何针对不同的上下文进行转义。
html值属性中的htmlspecalchars是否足以防止xss?
[英]Is htmlspecalchars in html value attributes enough to prevent xss?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.