- 博客(5)
- 收藏
- 关注
RSS订阅原创 对各类xss攻击手段的过滤
收录一下这篇文章,里面包含了各类xss的绕过方法http://ha.ckers.org/xss.html我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。 不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性css的@import,,等也直接禁用href="javascript:",css的url(java
2010-03-02 20:30:00
366
原创 可重入的词法和语法分析
因为富文本过滤器要以php extension的形式安装到线程安全的apache+php环境中,因此过滤器必须是可重入的(Reentrant)。 bison + flex因为要兼容老的yacc+lex,因此修改成可重入的还是比较麻烦,很多变量都已宏的形式重新定义,并且在yyparse和yylex中传递状态参数yyscan_t 如何修改成可重入的呢,概括起来就是在词法文件lex.l内加入%o
2010-03-02 20:29:00
469
原创 将富文本过滤器修改成可重入的
因为富文本过滤器要以php extension的形式安装到线程安全的apache+php环境中,因此过滤器必须是可重入的(Reentrant)。 bison + flex因为要兼容老的yacc+lex,因此修改成可重入的还是比较麻烦,很多变量都已宏的形式重新定义,并且在yyparse和yylex中传递状态参数yyscan_t 如何修改成可重入的呢,概括起来就是在词法文件lex.l内加入%o
2010-01-25 16:44:00
466
原创 做富文本过滤面临的一些问题
关于富文本过滤,就是说给一段混杂了html,js,css的文本,过滤出安全的部分,因此要做html,css解析,黑白名单设计,内容过滤。概括下来,功能点如下:以白名单方式过滤html属性,标签,不在白名单内的属性和标签被过滤。每个属性按照规定的格式过滤,不符合格式的清除解析style属性和标签内的css表达式,过滤expression()等不安全的代码,过滤url()内的外部url
2010-01-16 13:52:00
1486
原创 研究了一下如何开发php扩展
我的gentoo系统flash无法显示中文字体,而且无法睡眠和待机,有功夫再研究一下如何解决吧 因为要开发一个富文本过滤的php扩展,因此研究了一下php扩展的开发技术。 php.net上的文档写的不全。还要到处找,找到一本书不错,叫《Extending and Embedding PHP》
2010-01-16 13:22:00
326
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人