这个preg_match能成功阻止XSS吗？

Question

我读到，即使您剥离

我发现一个有趣的答案是这个 t>alert(1337)

你如何评估这个 preg 匹配？

echo preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $var);

此外，对于 XSS 攻击，我还应该注意其他任何标签吗？

Answer 1

strip_tags 足以消除 XSS 问题。但使用单个正则表达式则不然，因为您需要清理所有 HTML 属性和标签并将其列入白名单。浏览器非常宽容，甚至允许不符合标准的格式错误的 HTML（还有 IE 错误）。这就是为什么使用正则表达式来实现这一点几乎是不可行的。 （尽管有愚蠢的 SO meme，但可以将 HTML 与当代正则表达式语言相匹配，只是太费力了。）

您会发现的所有正则表达式解决方案都是黑名单，它们不被认为是可靠的解决方案。他们将错过一半可能的漏洞 http://ha.ckers.org/xss.html

Answer 2

正则表达式不足以过滤危险的 HTML。您必须正确解析 HTML，并删除格式错误的标签以及非白名单标签。使用现有的库，例如 HTML purifier； 很很容易犯这个错误。

Answer 3

您可以尝试在 while 循环中消除脚本标签，直到找不到更多脚本标签：

while (preg_match("'[<]script.*?/script[>]'is",$data))
{
    $data = preg_replace("'[<]script.*?/script[>]'is","",$data);
}

您还应该检查 onevent 元素属性，例如：onclick、onfocus 等。它们还可能包含不需要的 XSS。