当前位置：文江博客话题详情

Markdown XSS sanitization

Markdown 和 XSS

发布于 2024-08-10 12:33:06 字数 280 浏览 12 评论 0 原文

好的，所以我一直在 SO 和其他地方阅读有关 markdown 的内容，用户输入和数据库之间的步骤通常给出为

将 markdown 转换为 html
清理 html（带白名单）
插入数据库

但对我来说更有意义执行以下操作：

清理 markdown （删除所有标签 - 没有例外）
转换为 html
插入数据库

我错过了什么吗？在我看来，这几乎可以防止 xss

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

冧九 2024-08-17 12:33:06

请参阅此链接：

http://michelf.com/weblog/2010/markdown-and-xss/

> hello <a name="n"
> href="javascript:alert('xss')">*you*</a>

变成

<blockquote>
 <p>hello <a name="n"
 href="javascript:alert('xss')"><em>you</em></a></p>
</blockquote>

∴ 转换为 HTML 后必须进行清理。

Please see this link:

http://michelf.com/weblog/2010/markdown-and-xss/

> hello <a name="n"
> href="javascript:alert('xss')">*you*</a>

Becomes

<blockquote>
 <p>hello <a name="n"
 href="javascript:alert('xss')"><em>you</em></a></p>
</blockquote>

∴ you must sanitize after converting to HTML.

回复收藏 0 原文

泛泛之交 2024-08-17 12:33:06

您的提议存在两个问题：

我看不到您的用户能够格式化帖子的方法。例如，您利用 Markdown 提供了漂亮的编号列表。在提议的无标签无例外世界中，我不知道最终用户如何能够做这样的事情。
更重要的是：当使用 Markdown 作为“本机”格式化语言并将其他可用标签列入白名单时，您不仅限制了世界的输入端，还限制了输出。换句话说，如果您的显示引擎需要 Markdown 并且只允许白名单内容流出，即使（上帝禁止）有人访问数据库并将一些讨厌的恶意软件代码注入到一堆帖子中，实际网站及其用户也会受到保护因为您也在展示时对其进行消毒。

网络上有一些关于输出清理的好资源：

清理用户数据：在哪里以及如何进行
输出清理（我的一位客户（我的一位客户将保持匿名，其受影响的系统不是由我开发）受到了这种蠕虫病毒的攻击。当然，我们已经保护了这些系统。 )
BizTech：最佳实践：从未听说过 XSS？

回复收藏 0 原文

阳光下的泡沫是彩色的 2024-08-17 12:33:06

当然，删除/转义所有标签将使标记语言更加安全。然而，Markdown 的重点在于它允许用户包含任意 HTML 标签以及它自己的标记形式 (*)。当您允许 HTML 时，无论如何您都必须清理/白名单输出，因此您最好在 Markdown 转换之后执行此操作以捕获所有内容。

*：这是一个我完全不同意的设计决策，而且我认为在 SO 中没有被证明有用，但它是一个设计决策，而不是一个错误。

顺便说一下，第3步应该是“输出到页面”；这通常发生在输出阶段，数据库包含原始提交的文本。

回复收藏 0 原文

拥抱没勇气 2024-08-17 12:33:06

插入数据库
将 markdown 转换为 html
清理 html（带白名单）

perl

use Text::Markdown ();
use HTML::StripScripts::Parser ();

my $hss = HTML::StripScripts::Parser->new(
   {
       Context         => 'Document',
       AllowSrc        => 0,
       AllowHref       => 1,
       AllowRelURL     => 1,
       AllowMailto     => 1,
       EscapeFiltered  => 1,
   },
   strict_comment => 1,
   strict_names   => 1,
);

$hss->filter_html(Text::Markdown::markdown(shift))

insert into database
convert markdown to html
sanitize html (w/whitelist)

perl

use Text::Markdown ();
use HTML::StripScripts::Parser ();

my $hss = HTML::StripScripts::Parser->new(
   {
       Context         => 'Document',
       AllowSrc        => 0,
       AllowHref       => 1,
       AllowRelURL     => 1,
       AllowMailto     => 1,
       EscapeFiltered  => 1,
   },
   strict_comment => 1,
   strict_names   => 1,
);

$hss->filter_html(Text::Markdown::markdown(shift))

回复收藏 0 原文

我喜欢麦丽素 2024-08-17 12:33:06

将 markdown 转换为 html

清理 html（带白名单）

插入数据库

这里，假设

给定危险的 HTML，清理程序可以生成安全的 HTML。
安全HTML的定义不会改变，所以如果我将其插入数据库时是安全的，那么当我提取它时也是安全的。

清理 markdown（删除所有标签 - 无一例外）

转换为 html

插入数据库

这里的假设是

给定危险的markdown，清理程序可以生成markdown，当通过不同的程序转换为HTML时将是安全的。
安全HTML的定义不会改变，所以如果我将其插入数据库时是安全的，那么当我提取它时也是安全的。

Markdown 清理程序不仅要了解危险的 HTML 和危险的 Markdown，还要了解 Markdown->HTML 转换器如何完成其工作。这使得它比上面更简单的 unsafeHTML->safeHTML 函数更复杂，并且更容易出错。

作为一个具体示例，“删除所有标签”假设您可以识别标签，并且无法抵御 UTF-7 攻击。可能存在其他编码攻击使这一假设毫无意义，或者可能存在导致 markdown->HTML 程序转换的错误（全角 '<'，通过 markdown、SCRIPT 剥离的奇异空白字符）到

最安全的方法是：

清理 markdown（删除所有标签 - 无例外）
将 markdown 转换为 HTML
清理 HTML
插入到标记有风险的数据库列
每次从数据库获取该列时重新清理 HTML

这样，当您更新 HTML 时消毒剂，您可以免受任何新发现的攻击。这通常效率低下，但您可以通过存储插入 HTML 的时间戳来获得相当好的安全性，这样您就可以知道在有人知道攻击通过了您的消毒程序时可能插入了哪些内容。

回复收藏 0 原文

~没有更多了~

关于作者

ゝ偶尔ゞ

暂无简介

0 文章

0 评论

23 人气

关注发私信

友情链接

文江博客

Markdown 和 XSS

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

perl

perl

关于作者

相关话题

热门标签

推荐作者

苦中寻乐

lueluelue

嗼ふ静

王权女流氓

与花如笺

残酷

友情链接

Markdown 和 XSS

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

perl

perl

关于作者

相关话题

热门标签

推荐作者

苦中寻乐

lueluelue

嗼ふ静

王权女流氓

与花如笺

残酷

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。