XSS保留脚本标签并避免攻击 - 为什么不可靠

时间:2013-08-29 15:42:16

标签: php xss

我在网上有一些关于XSS攻击预防的文章,但我没有找到任何解决方案:

htmlspecialchars(mb_convert_encoding($value, "UTF-8", "UTF-8"),ENT_QUOTES,'UTF-8')


json_encode($value, JSON_HEX_QUOT|JSON_HEX_TAG|JSON_HEX_AMP|JSON_HEX_APOS);

或只是strip_tags
在这一刻我每次使用这些方法时都需要检索并显示一些信息,因为它打破了格式


我需要做的是防止这种情况下的XSS攻击:

  • 我有一个上传表单,如果有任何错误,它会返回名称并提醒它; 

    echo '<script>parent.noty({text: "File Name:'.json_encode($_FILES['filename']['name'][$i]).' Error Code:'.$_FILES['filename']['error'][$i].'",type:"error",timeout:9000});</script>';

  • 用户可以编写可以包含h​​tml标签的消息,例如脚本,我需要保留它:我使用ckeditor编写新消息,当我检索消息时,我需要主格式(

    ...)保留并使脚本部分无臂

此时,当我返回文件名时,我使用json_encode,但我不确定
修改
从我的评论中得出的可能性并不多,所以我想知道为什么这些方法不可靠 的修改
这就是我检索消息的方式:

$query = "SELECT 
                    a.enc_id,
                    IF(b.department_name IS NOT NULL, b.department_name,'Unknown'),
                    IF(c.name IS NOT NULL, c.name,IF(a.ticket_status='2','Not Assigned','Unknown'),
                    a.title,
                    CASE a.priority WHEN '0' THEN 'Low' WHEN '1' THEN 'Medium' WHEN '2' THEN 'High' WHEN '3' THEN 'Urgent' WHEN '4' THEN 'Critical' ELSE priority  END,
                    a.created_time,
                    a.last_reply,
                    CASE a.ticket_status WHEN '0' THEN '<span class=\'label label-success\'>Closed</span>' WHEN '1' THEN '<span class=\'label label-important\'>Open</span>' WHEN '2' THEN '<span class=\'label label-warning\'>To Assign</span>' WHEN '3' THEN '<span class=\'label label-important\'>Reported</span>' ELSE 'Error' END 
                FROM ".$SupportTicketsTable." a
                LEFT JOIN ".$SupportDepaTable." b
                    ON  b.id=a.department_id
                LEFT JOIN ".$SupportUserTable." c
                    ON c.id=a.operator_id
                WHERE a.user_id=".$_SESSION['id']." 
                ORDER BY a.last_reply DESC 
                LIMIT 350";
        $STH = $DBH->prepare($query);
        $STH->execute();
        $list=array('response'=>'ret','tickets'=>array('user'=>array()));
        $STH->setFetchMode(PDO::FETCH_ASSOC);
        $a = $STH->fetch();
        if(!empty($a)){
            do{
                $list['tickets']['user'][]=array('id'=>$a['enc_id'],'dname'=>$a['dname'],'opname'=>$a['opname'],'title'=>htmlspecialchars(mb_convert_encoding($a['title'], "UTF-8", "UTF-8"),ENT_QUOTES,'UTF-8'),'priority'=>$a['prio'],'date'=>$a['created_time'],'reply'=>$a['last_reply'],'status'=>$a['stat']);
            }while ($a = $STH->fetch());
        }
...
echo json_encode($list);

1 个答案:

答案 0 :(得分:0)

在这种特殊情况下,正确的方法是逃避您的内容:

echo '...{text: "File Name:"+'.json_encode($_FILES['filename']['name'][$i]).'+" Error code...'

这样做的原因是json_encode将接受任何输入并使其在JavaScript上下文中转储是安全的。字符串将被引号括起并适当地转义为有效。但是,在连接值之前,必须先关闭现有引号才能使其工作。

也就是说,我假设将此文本放入页面的函数将使用类似document.createTextNode(arguments[0].text);的内容来创建文本节点,而不是HTML上下文。

相关问题
最新问题