轻松防止 XSS 或 javascript 相关攻击

Question

我已阻止在服务器端 php 验证上提交“脚本”一词，并使用 htmlentities 和 strip 函数。这会保护所有与 javascript 相关的攻击吗？

Answer 1

不，有很多攻击媒介，因为 javascript 和标记是解释的，浏览器喜欢自动修复用户的拼写错误，并且某些浏览器对 css 中的 javascript 具有不安全的专有支持等。您可以阻止“script”，但“sc ript”呢？ （是的，有些浏览器会修复它）或“脚本”？当您的简单验证器删除一个脚本时，它实际上会留下另一个脚本。它需要递归。还有 onload、onblur、onmove 等呢？还有很多更晦涩难懂的黑客：
http://ha.ckers.org/xss.html

此外，只需能够获得链接或更糟糕的是，图像标签将允许用户让您的客户端和页面上的其他人发出任意 GET 请求，包括模仿管理表单（如果您错误地在输入中同时允许 GET 和 POST） - 您认为 Facebook 为何会重写所有内容发布了通过他们的代理的链接 第一的。

对于一个人来说，要独自追踪这一点实在是太困难了。您应该研究一个像这样的开源库，人们在其中共同开发解决方案，并在发现新的漏洞时进行更新：
http://htmlpurifier.org/ (php)

我确信其他语言也有等效的。