php – 正确使用时,htmlspecialchars是否足以保护所有XSS?
|
如果下列陈述是真实的,
>所有文档都使用HTTP标头Content-Type:text / html;字符集= UTF-8. 是否有任何情况下,htmlspecialchars($input,ENT_QUOTES,’UTF-8′)(转换&“,’,>到相应的命名HTML实体)不足以防止跨站点脚本在Web服务器上生成HTML?
htmlspecialchars()足以防止文档创建时间HTML注入与您所述的限制(即不注入标签内容/未引用属性).
但是还有其他种类的注射可以导致XSS:
这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义): <div onmouSEOver="alert('<?php echo htmlspecialchars($xss) ?>')"> // bad!
或者更糟糕的是,一个javascript:link(需要在转义HTML内的URL转义内部进行JS转义): <a href="javascript:alert('<?php echo htmlspecialchars($xss) ?>')"> // bad!
通常最好避免这些构造,但特别是模板化时.编写<?php echo htmlspecialchars(urlencode(json_encode($something)))?>相当乏味 而且注入问题也可能发生在客户端(DOM XSS); htmlspecialchars()不会保护你免受一些JavaScript写入innerHTML(通常是.html()),而不是显式转义. 而且… XSS的原因范围比注射更广泛.其他常见原因有: >允许用户创建链接,而不检查已知的URL方案(javascript:是最知名的有害方案,但还有更多)>故意允许用户创建标记,直接或通过光标记方案(如bbcode是永远可以利用的)>允许用户上传文件(可以通过各种方式重新解释为HTML或XML) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |