100分 内容区的XSS和HTML入侵解决方案;

WBOY
Freigeben: 2016-06-23 13:31:16
Original
1064 Leute haben es durchsucht

前台提交内容:
一般通过百度UE 或 kind 编辑器;
这些编辑器会自动转义视图区的一些标签; 提交带标签的HTML字符串;
为了保持一致性,后台不能再次进行转义,而直接入库;
非法用户可以直接POST一段SCRIPT+HTML的代码,不经过JS;

这样会造成XSS攻击;

XSS: script  这个好解决,转义

 和<script>即可; <br /> <br /> 但是HTML就麻烦了: <br /> 1.过滤position: 先去掉定位,把:转义; 定位完全可以重新定义页面; <br /> 2.过滤iframe frameset head ; 防止跳转; <br /> <br /> 这些就够了吗? 感觉还是不完善, 又不能全部转义; <br /> 假设用户利用DOM节点来扰乱页面呢? <br /> <br /> <p class="aaa"> <br /> 提交了这段代码,而正常的脚本JS中有对.aaa节点的操作,如 复制,引用等等. 这样该事件取得的值将会产生意外; <br /> <br /> 3.还要过滤 clss="" id="" name=""; <br /> 如果JS中有自定义的属性, 那需要用正则删除所有属性; <br /> <br /> 4.... <br /> <br /> <br /> 我想知道你们如何处理的? 我感觉很乱,想找个规范的解决方案; <br /> <br /> <br /> <p> <br /> <h2>回复讨论(解决方案) <p class="sougouAnswer"> 所以允许用户富文本编辑的系统都采用 ubb 或 bccode 编码格式 <br /> 而在线 html 编辑器仅限于管理群使用 </script>
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage