XSS URL过滤

发布于 2024-11-16 07:37:33 字数 226 浏览 1 评论 0原文

我正在使用我制作的这个函数，尽管可能不是原创的，并且想知道这是否有利于过滤基于 url 的 XSS 攻击。就是这里

function clean($url) {
    return strip_tags(html_entity_decode(urldecode($url), null, 'UTF-8'), ENT_QUOTES);
}

如果不是一个正确方向的点就好了

原文

I am using this function I made, although probably not original, and was wondering if this is good for filtering url based XSS attacks. here it is

function clean($url) {
    return strip_tags(html_entity_decode(urldecode($url), null, 'UTF-8'), ENT_QUOTES);
}

If not a point in the right direction would be nice

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

酒绊 2024-11-23 07:37:33

我建议你选择一个著名的框架（稳定），例如 Codeigniter、Kohana、Yii、Zend 并浏览其源代码。它们中的大多数都提供了您可以调整的辅助函数。通过这种方式，您可以受益于使用“社区编辑”的内容，这些内容始终与大多数安全威胁保持同步。

回复收藏 0 原文

老旧海报 2024-11-23 07:37:33

我建议查看 OWASP 的 ESAPI 项目。他们创建了一个编码库，支持多种语言，包括 Java、.NET、PHP、Classic ASP、Cold Fusion、Python 和 Haskell。的上下文中的不受信任数据进行编码的工具：

encodeForHTMLencodeForHTMLAttributeencodeForJavaScriptencodeForCSSencodeForURL
它
具有
。
用于对您正在处理

它还可以满足输入验证的需要
使用 ESAPI 的一些组织包括 American Express、Apache Foundation、Booz Allen Hamilton、Aspect Security、Foundstone(McAfee)、The Hartford、Infinite Campus、Lockheed Martin、MITRE、美国海军 - SPAWAR、世界银行、SANS Institute。

我还建议阅读他们的 XSS 预防备忘单，其中描述了最好的方法构建 XSS 防御的实践（本质上归结为您必须对要放入不可信数据的 HTML 文档部分使用转义语法）。