如何解决在将某些HTML标记转义为XSS后,请转义它们
|| 我将html存储在数据库中,需要将其输出到页面。 如果我不转义(),那么我会得到想要的粗体格式,但是冒着从未转义的html源获取XSS的风险。 如果我对它进行了escape()处理,则它将显示原始html代码<b>bold text</b>
而不是粗体文本。
除了某些标签,我该如何逃避一切?我正在考虑应用escape(),然后搜索<b>
和</b>
并取消转义。那行得通吗?您看到任何安全问题吗?我也不确定如何搜索<b></b>
标签。正则表达式可能是什么?
附言我的意思是escape()是Zend中的一个函数。我相信这相当于4英镑。
解决方法
逃脱是必经之路。如果仅将几个要从html转义转换的标记列入白名单,那么您将不会遇到XSS漏洞。
解决方案标记对此没有任何优势,因为许多失败的BBcode解析器都证明了这一点。
(不过,代替来回转换可能更明智的是使用HTMLPurifier。)
, 如果数据库中的HTML标记来自您不信任的用户,则应授予他们访问标记或类似的“安全”编辑环境的权限,以便他们可以准备所需的标记,并且不允许他们注入HTML。
尝试执行选择性过滤通常是错误的,并且会错失攻击者可以注入恶意代码的方式。因此,不要让他们编写原始HTML。
,
htmlspecialchars_decode()
与htmlspecialchars()
相反。可以取消转义,但是没有用于限制标签的参数。
如果the7ѭ是由用户编写的,则不是个好主意:)
, 您可以使用HTMLPurifier库,该库将处理转义等所需的所有工作。这是一个很好的视频,解释了如何将其安装到zend框架中
http://www.zendcasts.com/htmlpurifier-integration/2011/05/
, 尝试在第二个参数中使用strip_tags是$ allowable_tags
, 使用Zend_Filter_StripTags类,并使用以下键作为数组作为构造函数的参数:
\'allowTags \'=>允许的标签
\'allowAttribs \'=>允许的属性
第二部分允许您修剪所有不必要的属性,例如\'onClick \'等,它们可能像<script>
代码一样危险,但是您可以将\'src \'保留为<img>
或将''href \'保留为<a>
, 创建您自己的视图助手,或者也可以在控制器中使用setEscape()参见http://framework.zend.com/manual/en/zend.view.scripts.html#zend.view.scripts.escaping
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。