Also, it's important to mention that allowing people to inject HTML or JavaScript into your page (and not your datasource) carries no inherent security risk itself. There already exist browser extensions that allow you to modify the DOM and scripts on web pages, but since it's only client-side, they're the only ones that will know. Where XSS becomes a problem is when people a) use it to bypass client-side validation or input filtering or b) when people use it to manipulate input fields (for example, changing the values of OPTION tags in an ACL to grant them permissions they shouldn't have). The ONLY way to prevent against these attacks is to sanitize and validate input on the server-side instead of, or in addition to, client-side validation. For sanitizing HTML out of input, htmlspecialchars is perfectly adequate unless you WANT to allow certain tags, in which case you can use a library like HTMLPurifier. If you're placing user input in HREF, ONCLICK, or any attribute that allows scripting, you're just asking for trouble. EDIT: Looking at your code, it looks like you aren't quoting your attributes! That's pretty silly. If someone put their username as: Then your script would parse as: ALWAYS use quotes around attributes. Even if they aren't user-inputted, it's a good habit to get into. Permalink
How To Prevent XSS :
Ngoài ra, điều quan trọng cần đề cập là việc cho phép mọi người đưa HTML hoặc JavaScript vào trang của bạn (chứ không phải nguồn dữ liệu của bạn) không mang lại rủi ro bảo mật vốn có. Đã tồn tại các tiện ích mở rộng trình duyệt cho phép bạn sửa đổi DOM và tập lệnh trên các trang web, nhưng vì nó chỉ ở phía máy khách nên chúng là những thứ duy nhất biết được. Trường hợp XSS trở thành vấn đề là khi mọi người a) sử dụng nó để bỏ qua xác thực phía máy khách hoặc lọc đầu vào hoặc b) khi mọi người sử dụng nó để thao tác các trường đầu vào (ví dụ: thay đổi giá trị của thẻ OPTION trong ACL để cấp cho họ quyền mà họ không nên có). Cách DUY NHẤT để ngăn chặn các cuộc tấn công này là khử trùng và xác thực đầu vào ở phía máy chủ thay vì hoặc ngoài xác thực phía máy khách. Để làm sạch HTML ra khỏi đầu vào, htmlspecialchars là hoàn toàn phù hợp trừ khi bạn MUỐN cho phép một số thẻ nhất định, trong trường hợp đó, bạn có thể sử dụng một thư viện như HTMLPurifier. Nếu bạn đang đặt đầu vào của người dùng trong HREF, ONCLICK hoặc bất kỳ thuộc tính nào cho phép tạo tập lệnh, bạn chỉ đang gặp rắc rối. CHỈNH SỬA: Nhìn vào mã của bạn, có vẻ như bạn không trích dẫn các thuộc tính của mình! Thật là ngớ ngẩn. Nếu ai đó đặt tên người dùng của họ là: Sau đó, tập lệnh của bạn sẽ phân tích cú pháp thành: LUÔN LUÔN sử dụng dấu ngoặc kép xung quanh các thuộc tính. Ngay cả khi chúng không được người dùng nhập vào, đó là một thói quen tốt để thực hiện. 15 hữu ích 5 bình luận chia sẻ |
