我正在为我的应用程序调查可能的XSS攻击向量。
我有什么:
textarea字段的FormType。通常,此字段可以包含html个标记。Twig模板,用于呈现插入的数据。我使用该表单插入以下内容:
<b>Some valid HTML text</b>
<script type="text/javascript">alert("XSS")</script>
查看该数据需要转义。在逃避数据方面,我很熟悉一些策略。
1)raw过滤器:完全禁用转义 - &gt;介绍可能的XSS
2)e过滤器:
html味道输出:<b>Some valid HTML text</b> <script type="text/javascript">alert("XSS")</script> js味道输出:\x3Cb\x3ESome\x20valid\x20HTML\x20text\x3C\x2Fb\x3E\x0D\x0A\x3Cscript\x20type\x3D\x22text\x2Fjavascript\x22\x3Ealert\x28\x22XSS\x22\x29\x3C\x2Fscript\x3E 3){{ var|striptags('<br>')|raw }},输出:一些有效的HTML文字提醒(&#34; XSS&#34;)
这个有用,但不知何故我不喜欢它。我宁愿寻找一个黑名单解决方案,而不是白名单。
现在的问题是:
是否有任何其他转义策略允许使用html代码但转义<script>代码e("js")代码?
我应该&#34;杀死&#34;表单提交期间或Twig呈现期间的脚本?
答案 0 :(得分:7)
我建议添加一个符合您需求的新Twig过滤器。
应该看起来像
{{var | filter_black_listed() }}
并在过滤器逻辑中添加类似
的内容class FilterBlackListedExtension extends \Twig_Extension
{
private $blacklistedTags = ['script', 'p'];
public function getFilters()
{
return array(
new \Twig_SimpleFilter('filter_black_listed', array($this, 'htmlFilter')),
);
}
public function htmlFilter($html)
{
foreach ($this->blacklistedTags as $tag) {
preg_replace('/(<' . $tag . '>)(.*)(<\/' . $tag . '>)/g', '', $html);
}
return $html; // maybe even apply the raw filter also afterwards.
}
public function getName()
{
return 'filter_black_listed_extension';
}
}
如果您无法完成这项工作,请告诉我们。)