消毒用戶輸入的最佳方式是什麼？

Question

我需要儘可能以集中的方式防止XSS攻擊，這樣我就不必顯式清理每個輸入。

我的問題是在URL /請求處理級別消毒所有輸入，在服務之前對輸入進行編碼/消毒，還是在顯示級別（輸出消毒）都更好？ 哪一個更好？爲什麼？

Answer 1

有，你需要注意兩個方面：

1. 任何地方，你在任何語言中，最值得注意的是，包括SQL中使用輸入作爲腳本的一部分。在SQL的特殊情況下，只有推薦的處理事情的方式是使用參數化查詢（這會導致非轉義內容在數據庫中，但正如字符串：這很理想）。在將字符直接替換爲SQL字符串之前，任何涉及字符的神奇引用都是次要的（因爲它很容易出錯）。任何無法通過參數化查詢完成的事情都是針對SQL注入的服務應該永遠不允許用戶指定。

2. 任何地方，您呈現的內容都是輸入的內容。輸入源可以是直接的（包括通過cookie）或間接的（通過數據庫或文件）。在這種情況下，您的默認方法應該是將用戶看到的文本作爲輸入的文本。這很容易正確實現，因爲您實際上只需引用的字符是<和&，並且您可以將其全部包裝在<pre>中進行顯示。

但這通常是不夠的。例如，您可能想要允許用戶進行某種格式化。這是它容易出錯的地方。在這種情況下最簡單的方法是解析輸入並檢測所有格式化指令;一切都需要正確引用。您應該將格式化版本額外存儲在數據庫中作爲額外的列，以便在將其返回給用戶時不需要做太多工作，但是您還應該存儲用戶輸入的原始版本，以便您可以搜索它。 不要混淆！真的！審覈您的應用程序，使完全確保您得到這個權利（或者，更好的是讓別人來做審計）。

但是，關於使用SQL小心的一切仍然適用，並且有許多永遠不會安全的HTML標記（例如，<script>，<object>）和屬性（例如，onclick）。

---

您正在尋找有關特定包做的工作的建議？你真的需要選擇一種語言。上述建議完全與語言無關。附加軟件包/庫可以使上述許多步驟在實踐中變得非常簡單，但您仍然需要小心。