跨站脚本 (xss) 攻击

Question

我只是有一个关于 XSS 攻击的简单问题。我知道您可以通过清理表单输入来防止它们，但我的问题是，搜索输入（例如网站上的常规搜索）怎么样？我们也应该清理搜索输入吗？我的意思是，这只是一个搜索输入，用户应该能够在网站上搜索他/她想要的任何内容。请对此进行一些澄清。

谢谢

Answer 1

<块引用>

我知道您可以通过清理表单输入来防止它们

，不，您应该通过清理输出来防止它们。因此，在数据库（或任何地方）中，您需要按原样传递数据，并在将其显示给用户之前对其进行处理

Answer 2

不过，zerkms 已经回答了这个问题，

如果您显示用户搜索的内容，例如“，则对来自接触数据库的任何用户输入的 sql 注入进行清理需要 mysql_real_escape_string($_REQUEST['search'])

在输出上”您搜索过：" use htmlentities(strip_tags($_REQUEST['search']), ENT_QUOTES);

然后您就可以安全地接收和外向的

Answer 3

我只想在此讨论中再补充一点。你说：

我的意思是，这只是一个搜索输入，用户应该能够在网站上搜索他/她想要的任何内容。

这里有一个陷阱：搜索词通常会被打印到搜索后呈现的文档中。即，“您搜索的是：<无论是什么>”。如果您不清理这些内容，这就是您存在 XSS 漏洞的地方。

如果您在想“但我们不这样做”，请记住，您可能现在不这样做，但将来可能会这样做。如果您现在不封堵这个漏洞，以后您可能会忘记这样做——所以最好将这个漏洞消灭在萌芽状态。

Answer 4

使用 htmlpurifier 怎么样？

Answer 5

SQL 注入和XSS是两种不同（但有些相关）的攻击。它们之间的相关性在于，本质上它可以归结为不受信任的数据从其所在的上下文中逸出并随后执行不可预见的操作。

为了遵循构建防御的最佳实践，我建议阅读 OWASP SQL预防注射备忘单及其XSS 预防备忘单。

OWASP 提出了 ESAPI 项目，其中包括用于不同编码的工具可以使用不受信任数据的上下文：

• encodeForSQLencodeForHTMLencodeForHTMLAttributeencodeForJavaScriptencodeForCSSencodeForURL
• 该
• Cold
• ，
• ，
• Fusion

库可用于多种语言，包括Java，.NET，PHP，Classic ASP Python 和 Haskell。如果需要，它还能够执行输入验证。

使用 ESAPI 的一些组织包括美国运通、Apache 基金会、Booz Allen Hamilton、Aspect Security、Foundstone(McAfee)、The Hartford、Infinite Campus、Lockheed Martin、MITRE、美国海军 - SPAWAR、世界银行、SANS Institute。

最后 - 编码将在解释之前执行（越接近越好）。例如：在向 UI 组件提供不可信数据以呈现之前，对其进行编码。 UI 组件不能信任服务器 - 它必须进行编码。