3
我在我的應用程序中使用了PHP和Zend Framework。用戶可以輸入一些HTML,管理員可以看到這個HTML。我想避免XSS注入。所有的HTML應該顯示爲除了任何JavaScript。我試圖刪除script標籤,但它不安全。用戶可以將javascript添加到onclick或其他事件。避免執行javascript的最佳方法
謝謝。
A
回答
4
如果你正在尋找從XSS過濾用戶輸入這個樣子,我會考慮使用HTML purifier
只刪除腳本標記是不夠的,你就錯過了任何JavaScript嵌入人們可以添加,除其他事項外。
HTML purifier但是會將其全部刪除。來自他們的網站:
HTML淨化器是一個符合標準的HTML濾波器庫,編寫在 PHP中。 HTML Purifier不僅會刪除所有的惡意代碼(更好的 稱爲XSS),並且它還會確保您的文檔符合標準 ,只有通過全面瞭解 W3C規範才能實現。
+0
不錯的工具。謝謝。我會調查它。 – pltvs 2012-03-30 13:21:31
1
我認爲你最好的選擇是手動覆蓋所有的漏洞。
首先刪除腳本標記,然後在on事件(onclick,onhover ...)上運行正則表達式,並刪除這些事件。還有更多的偏差...
CodeIgniter(其他框架也可能)有一個函數xss_clean(),你可能會看看那個,看看他們做什麼。
相關問題
- 1. 避免假用戶的最佳方法
- 2. 避免樹步行遞歸的最佳方法
- 3. 避免在JavaScript中傳遞大量參數的最佳做法
- 4. 什麼是避免Application.Current.Properties的硬編碼鍵的最佳方法?
- 5. 從Java執行AppleScript的最佳方法
- 6. 執行PHP掛鉤的最佳方法
- 7. 執行XMLObject驗證的最佳方法
- 8. 避免複製粘貼和硬編碼的最佳方法
- 9. 使用Spring避免數據庫輪詢的最佳方法
- 10. 避免重複進入mysql數據庫的最佳方法
- 11. 避免SpamCop觸發ASP.NET網頁的最佳方法是什麼?
- 12. Magento:避免擴展衝突的最佳方法
- 13. 在SQL中避免重複子查詢的最佳方法
- 14. Flex:避免幻燈片轉換怪癖的最佳方法
- 15. 避免javascript在XBL中出現這種錯誤的最佳方法
- 16. mysql - 避免重複的最好方法
- 17. 使用ThreadPool安排延遲執行方法的最佳方法?
- 18. 執行順序方法的最佳方法是什麼?
- 19. 執行Segmentation時避免MomoryLeak
- 20. 如何避免在測試用例中執行Collection.sort()方法?
- 21. 避免因刷新頁面而提交的最佳方式
- 22. 避免sql注入的最佳方式是什麼?
- 23. Grails - 避免flash.message中的XSS的最佳做法?
- 24. 避免重讀表上的鎖的最佳做法?
- 25. Android - 什麼是避免隱藏軟鍵盤下的EditText的最佳方法
- 26. 避免MySQL中重複的長文本條目的最佳方法
- 27. 執行此操作的最佳方式
- 28. 執行搜索的最佳方式
- 29. 避免代碼複製的最佳做法?
- 30. 避免「添加朋友」濫用的最佳做法
在這種情況下,我可能會使用某種輸入清洗/淨化器。例如htmLawed: http://www.bioinformatics.org/phplabware/internal_utilities/htmLawed/index.php – 2012-03-30 12:23:29