从 HREF 中删除 Javascript

Question

我们希望允许“正常”href 链接到其他网页，但我们不想允许任何人潜入客户端脚本。

正在 HREF 和 onclick/onmouseover/etc 中搜索“javascript:”。 活动够好吗？ 或者还有其他什么需要检查的吗？

Answer 1

听起来您正在允许用户使用标记提交内容。 因此，我建议您看几篇有关防止跨站点脚本编写的文章，这些文章所涵盖的内容不仅仅是防止将 javascript 插入到 HREF 标记中。 下面是我发现可能有用的一个：

http:// weblogs.java.net/blog/gmurray71/archive/2006/09/preventing_cros.html

Answer 2

您必须使用允许协议的白名单才能完全安全。 如果你使用黑名单，迟早你会错过像“telnet://”或“shell:”这样的东西，或者一些你从未听说过的可利用的浏览器特定的东西......

Answer 3

不，还有很多事情需要您检查。

第一个 URL 可以被编码（使用 HTML 实体或 URL 编码或两者的混合）。

其次，您需要检查格式错误的 HTML，浏览器可能会猜测并最终允许某些脚本进入。

第三，您需要检查基于 CSS 的脚本，例如：background: url(javascript:...) 或 width:expression(. ..）

我可能错过了更多 - 你需要小心！

Answer 4

接受用户输入时必须非常小心。 您需要如上所述创建白名单，但不仅仅是使用 href。 示例：

<img src="nosuchimage.blahblah" onerror="alert('Haxored!!!');" />

或

<a href="about:blank;" onclick="alert('Haxored again!!!');">click meh</a>

Answer 5

一种选择是完全禁止使用 html，并使用某些论坛使用的相同格式。 只需将

[url="xxx"]yyy[/url]

替换为

yyy

即可解决鼠标悬停等问题。然后只需确保链接以白名单协议开头，并且其中没有引号（" 或一些可能被解密的内容通过 php 或浏览器）。

Answer 6

听起来您正在寻找 PHP 的 strip_tags 的配套函数，即 strip_attributes。 不幸的是，它还没有写出来。 （提示，提示。）

但是，strip_tags 文档中有一个看起来很有趣的建议，如下：

http://www.php.net/manual/en/function.strip-tags.php#85718

理论上，这会删除任何不是提交链接中的 href、类或 ID； 看起来你可能想进一步锁定它并只获取 href。