本文探讨了XSS攻击防范方法,包括输入过滤、正则表达式白名单过滤及使用抗XSS类库。重点介绍了如何在不牺牲用户输入表现力的前提下,确保网站安全。同时分享了一个免费的空间资源,支持PHP+MySql、免费二级域名和域名绑定。
======================================================
注:本文源代码点此下载
======================================================
跨站脚本攻击(xss)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。
但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的bb code的方法。使用特定的标签代替一些格式。比如:[b]表示粗体,等等。但是,bb code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。
为了让用户的输入更具表现力,涌现了大量的html编辑器控件,著名的有fckeditor,freetextbox,rich textbox,cute editor,tinymce等等。比如,博客园的后台发随笔就支持cute editor和tinymce,我个人比较喜欢cute editor,功能强大,性能不错,而且容易定制。
使用这些html编辑器控件的潜在危险,是用户可能会输入一些危险字符,注入到网站中,形成xss攻击。一个最简单的输入就是:
javascript>alert('xss')/javascript>
如何防止呢?大致思路有三种:
1. 正则表达式的白名单过滤机制。
2. 正则表达式的黑名单替换机制。
3. 通过dom对象过滤白名单和黑名单的标签。
下面这个地址列举了很多这样的过滤方法:
http://refactormycode.com/codes/333-sanitize-html
不过,我试了上面链接里的一些方法,并不是很好用。有一个更简单好用的东西,就是antixss,由微软推出的用于防止xss攻击的一个类库。它的实现原理也是使用白名单机制,不过这个白名单对我们来说是一个黑盒,我用reflector粗略看了一下,也没找到所谓的白名单在哪里。不过,这个库确实很好用。
一个msdn里图文并茂的使用说明:http://msdn.microsoft.com/en-us/library/aa973813.aspx
其实我用的很简单,就是antixss.getsafehtmlfragment(html)方法,这个方法会替换掉html里的危险字符。比如:
var html = ""#\" onclick=\"alert();\">aaaaaaaaajavascript
alert('a')"abc.jpg\">
test
";
string safehtml = antixss.getsafehtmlfragment(html);
console.writeline(safehtml);
上面的危险内容被成功替换,返回的内容是:
a href="">aaaaaaaaaa>javascript
p>img src="">alert('a')img src="abc.jpg">img>p>
p>testp>
嗯,非常安全。然后,又有一个疑问了,是应该将用户的输入过滤之后写入数据库呢?还是在输出界面显示的时候进行过滤?其实,通常来讲,在输出界面显示的时候进行过滤就够了,将用户输入过滤后写入数据库不是很必要,因为即使这样也无法保证数据库中没有危险的数据。当然,上个双保险也没有什么不好的。
======================================================
在最后,我邀请大家参加新浪APP,就是新浪免费送大家的一个空间,支持PHP+MySql,免费二级域名,免费域名绑定 这个是我邀请的地址,您通过这个链接注册即为我的好友,并获赠云豆500个,价值5元哦!短网址是http://t.cn/SXOiLh我创建的小站每天访客已经达到2000+了,每天挂广告赚50+元哦,呵呵,饭钱不愁了,\(^o^)/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
