Как предотвратить XSS с HTML / PHP?


256

Как я могу предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP?

Я видел множество других постов на эту тему, но я не нашел статьи, в которой бы четко и кратко говорилось, как на самом деле предотвратить XSS.


3
Просто обратите внимание, что это не решит ситуацию, когда вы захотите использовать пользовательский ввод в качестве атрибута HTML. Например, исходный URL изображения. Не обычный случай, но легко забываемый.
Майкл Миор

@MichaelMior - это решение для предотвращения использования атрибута XSS in hrefили srcHTML: stackoverflow.com/questions/19047119/…
baptx

Там хорошая статья здесь , что объясняет XSS и как предотвратить его на разных языках ( в том числе. PHP).
XCore

Ответы:


296

В основном вам нужно использовать эту функцию htmlspecialchars()всякий раз, когда вы хотите вывести в браузер что-то, полученное из пользовательского ввода.

Правильный способ использования этой функции примерно такой:

echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

В Университете Google Code также есть эти обучающие видео по веб-безопасности:


7
@TimTim: В большинстве случаев, да. Однако, когда вам нужно разрешить ввод HTML, все становится немного сложнее, и если это так, я рекомендую использовать что-то вроде htmlpurifier.org
Alix Axel

@Alix Аксель, так ли ваш ответ использовать htmlspecialchars или htmlpurifier.org ?
TimTim

3
Если вам нужно принять ввод HTML, используйте HTML Purifier, если не используете htmlspecialchars().
Аликс Аксель

9
htmlspecialchars или htmlentities? Проверьте здесь stackoverflow.com/questions/46483/…
kiranvj

4
В большинстве случаев это правильно, но не так просто. Вы должны подумать о том, чтобы поместить ненадежную строку в HTML, Js, Css, и подумать о том, чтобы поместить ненадежный HTML в HTML. Посмотрите на это: owasp.org/index.php/…
бронзовый человек

41

Одной из моих любимых ссылок на OWASP является объяснение межсайтовых сценариев, поскольку, хотя существует большое количество векторов атак XSS, соблюдение следующих нескольких правил может в значительной степени защитить от большинства из них!

Это PHP безопасности шпаргалка


7
Я тоже .. Это шпаргалка XSS Filter Evasion owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

1
Не совсем XSS, но я думаю, что XSS и CSRF обычно смешиваются, и оба действительно опасны: owasp.org/index.php/…
Саймон

2
Эта страница больше не существует
Mazzy


15

Одним из наиболее важных шагов является очистка любого пользовательского ввода перед его обработкой и / или обработкой в ​​браузере. PHP имеет некоторые функции « фильтра », которые можно использовать.

Форма, которую обычно используют атаки XSS, - это вставить ссылку на некоторый сторонний javascript, который содержит злонамеренные намерения для пользователя. Подробнее об этом читайте здесь .

Вы также захотите протестировать свой сайт - я могу порекомендовать дополнение Firefox XSS Me .


Что мне нужно, чтобы убедиться, что я очищаю вход именно от. Есть ли какой-то конкретный символ / строка, на которую я должен обратить внимание?
TimTim

27
@TimTim - нет. Все вводимые пользователем , должны всегда рассматриваться как по своей сути враждебные.
зомбат

Кроме того, внутренние данные (сотрудники, системный администратор и т. Д.) Могут быть небезопасными. Вы должны идентифицировать и контролировать (с датой регистрации и пользователем) данные, отображаемые с интерпретацией.
Самуэль Даузон,

9

В порядке предпочтения:

  1. Если вы используете шаблонизатор (например, Twig, Smarty, Blade), убедитесь, что он предлагает контекстно-зависимое экранирование. По своему опыту я знаю, что это делает Твиг.{{ var|e('html_attr') }}
  2. Если вы хотите разрешить HTML, используйте HTML Purifier . Даже если вы думаете, что принимаете только Markdown или ReStructuredText, вы все равно хотите очистить HTML от этих языков разметки.
  3. В противном случае используйте htmlentities($var, ENT_QUOTES | ENT_HTML5, $charset)и убедитесь, что в остальной части документа используется тот же набор символов, что и $charset. В большинстве случаев 'UTF-8'это желаемый набор символов.

Также убедитесь, что вы сбежали на выходе, а не на входе .


7

Перекрестная публикация этого как сводная ссылка от бета-версии документации SO, которая выходит в автономном режиме.

проблема

Межсайтовый скриптинг - это непреднамеренное выполнение удаленного кода веб-клиентом. Любое веб-приложение может представить себя XSS, если оно принимает данные от пользователя и выводит их непосредственно на веб-странице. Если ввод включает HTML или JavaScript, удаленный код может быть выполнен, когда этот контент отображается веб-клиентом.

Например, если сторонняя сторона содержит файл JavaScript:

// http://example.com/runme.js
document.write("I'm running");

И приложение PHP напрямую выводит строку, переданную в него:

<?php
echo '<div>' . $_GET['input'] . '</div>';

Если непроверенный параметр GET содержится, <script src="http://example.com/runme.js"></script>то вывод сценария PHP будет:

<div><script src="http://example.com/runme.js"></script></div>

Будет запущен сторонний JavaScript, и пользователь увидит «Я бегу» на веб-странице.

Решение

Как правило, никогда не доверяйте данным, поступающим от клиента. Каждое значение GET, POST и cookie может быть чем угодно, и поэтому должно быть проверено. При выводе любого из этих значений избегайте их, чтобы они не оценивались неожиданным образом.

Имейте в виду, что даже в самых простых приложениях данные могут перемещаться, и будет сложно отслеживать все источники. Поэтому лучше всегда избегать вывода.

PHP предоставляет несколько способов избежать вывода в зависимости от контекста.

Функции фильтра

ПГПС Функции фильтрации позволяют входные данные в PHP скрипт , чтобы быть продезинфицировать или подтверждено в многих отношениях . Они полезны при сохранении или выводе клиентского ввода.

HTML кодировка

htmlspecialcharsпреобразует любые «специальные символы HTML» в свои HTML-кодировки, то есть они не будут обрабатываться как стандартный HTML. Чтобы исправить наш предыдущий пример, используя этот метод:

<?php
echo '<div>' . htmlspecialchars($_GET['input']) . '</div>';
// or
echo '<div>' . filter_input(INPUT_GET, 'input', FILTER_SANITIZE_SPECIAL_CHARS) . '</div>';

Будет вывод:

<div>&lt;script src=&quot;http://example.com/runme.js&quot;&gt;&lt;/script&gt;</div>

Все внутри <div>тега не будет интерпретироваться браузером как тег JavaScript, а как простой текстовый узел. Пользователь безопасно увидит:

<script src="http://example.com/runme.js"></script>

Кодировка URL

При выводе динамически сгенерированного URL-адреса PHP предоставляет urlencodeфункцию для безопасного вывода действительных URL-адресов. Так, например, если пользователь может вводить данные, которые становятся частью другого параметра GET:

<?php
$input = urlencode($_GET['input']);
// or
$input = filter_input(INPUT_GET, 'input', FILTER_SANITIZE_URL);
echo '<a href="http://example.com/page?input="' . $input . '">Link</a>';

Любой вредоносный ввод будет преобразован в закодированный параметр URL.

Использование специализированных внешних библиотек или списков OWASP AntiSamy

Иногда вам захочется отправить HTML или другой вид ввода кода. Вам нужно будет вести список разрешенных слов (белый список) и неавторизованных (черный список).

Вы можете скачать стандартные списки, доступные на веб-сайте OWASP AntiSamy . Каждый список подходит для определенного вида взаимодействия (ebay api, tinyMCE и т. Д.). И это с открытым исходным кодом.

Существуют библиотеки для фильтрации HTML и предотвращения XSS-атак в общем случае и выполнения по крайней мере так же, как списки AntiSamy с очень простым использованием. Например, у вас есть очиститель HTML


5

Многие фреймворки помогают обрабатывать XSS различными способами. При развертывании собственного или если есть какая-то проблема XSS, мы можем использовать filter_input_array (доступно в PHP 5> = 5.2.0, PHP 7.) Я обычно добавляю этот фрагмент в мой SessionController, потому что все вызовы проходят там до любого другого контроллера взаимодействует с данными. Таким образом, весь ввод пользователя очищается в 1 центральном месте. Если это делается в начале проекта или до того, как ваша база данных отравлена, у вас не должно быть проблем во время вывода ... останавливает мусор, выкидывает мусор.

/* Prevent XSS input */
$_GET   = filter_input_array(INPUT_GET, FILTER_SANITIZE_STRING);
$_POST  = filter_input_array(INPUT_POST, FILTER_SANITIZE_STRING);
/* I prefer not to use $_REQUEST...but for those who do: */
$_REQUEST = (array)$_POST + (array)$_GET + (array)$_REQUEST;

Выше будет удалено ВСЕ HTML и теги скрипта. Если вам нужно решение, которое позволяет использовать безопасные теги на основе белого списка, ознакомьтесь с HTML Purifier .


Если ваша база данных уже заражена или вы хотите работать с XSS во время вывода, OWASP рекомендует создать пользовательскую функцию-обертку echoи использовать ее ВЕЗДЕ, где вы выводите пользовательские значения:

//xss mitigation functions
function xssafe($data,$encoding='UTF-8')
{
   return htmlspecialchars($data,ENT_QUOTES | ENT_HTML401,$encoding);
}
function xecho($data)
{
   echo xssafe($data);
}

2

Вы также можете установить некоторые связанные с XSS заголовки ответа HTTP через header(...)

X-XSS-Protection "1; mode = block"

чтобы быть уверенным, режим защиты XSS браузера включен.

Политика безопасности содержимого "default-src 'self'; ..."

включить защиту содержимого на стороне браузера. См. Этот для деталей Политики безопасности контента (CSP): http://content-security-policy.com/ Особую настройку CSP для блокировки встроенных сценариев и внешних источников сценариев полезно использовать в XSS.

для общего набора полезных заголовков HTTP-ответов, касающихся безопасности вашего веб-приложения, обратитесь к OWASP: https://www.owasp.org/index.php/List_of_useful_HTTP_headers.


1
<?php
function xss_clean($data)
{
// Fix &entity\n;
$data = str_replace(array('&amp;','&lt;','&gt;'), array('&amp;amp;','&amp;lt;','&amp;gt;'), $data);
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');

// Remove any attribute starting with "on" or xmlns
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);

// Remove javascript: and vbscript: protocols
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);

// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);

// Remove namespaced elements (we do not need them)
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);

do
{
    // Remove really unwanted tags
    $old_data = $data;
    $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
}
while ($old_data !== $data);

// we are done...
return $data;
}

5
Вы не должны использовать, preg_replaceкак он использует evalна вашем входе. owasp.org/index.php/PHP_Security_Cheat_Sheet#Code_Injection
CrabLab

0

Используйте htmlspecialcharsна PHP. В HTML старайтесь не использовать:

element.innerHTML = “…”; element.outerHTML = “…”; document.write(…); document.writeln(…);

где varнаходится управляется пользователем .

Также, очевидно, старайтесь избегать eval(var), если вам нужно использовать какой-либо из них, попробуйте JS, избегая их, HTML избегайте их, и вам, возможно, придется сделать еще кое-что, но для основы этого должно быть достаточно.


0

Лучший способ защитить ваш ввод - это использовать htmlentitiesфункцию. Пример:

htmlentities($target, ENT_QUOTES, 'UTF-8');

Вы можете получить больше информации здесь .

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.