Kei*_*ith 54 security xss url html-sanitizing
我们有一个高安全性应用程序,我们希望允许用户输入其他用户将看到的URL.
这引入了XSS黑客的高风险 - 用户可能会输入另一个用户最终执行的javascript.由于我们持有敏感数据,因此必须永远不会发生这种情况.
处理这个问题的最佳做法是什么?单独的安全白名单或转义模式是否足够好?
有关处理重定向的任何建议(例如,在关注链接之前,警告页面上的"此链接在我们的网站之外"消息)
有没有支持用户输入链接的论据?
澄清:
基本上我们的用户想要输入:
stackoverflow.com
并将其输出给另一个用户:
<a href="http://stackoverflow.com">stackoverflow.com</a>
我真正担心的是他们在XSS黑客中使用它.即他们输入:
警报( '砍死!');
所以其他用户获得此链接:
<a href="alert('hacked!');">stackoverflow.com</a>
我的例子只是解释风险 - 我很清楚javascript和URL是不同的东西,但通过让他们输入后者,他们可能能够执行前者.
你会惊讶于你可以用这个技巧打破多少网站 - HTML更糟糕.如果他们知道处理环节上做到他们也知道消毒<iframe>,<img>并巧妙的CSS参考?
我在高安全性环境中工作 - 单个XSS黑客可能会给我们造成很大的损失.我很高兴我可以制作一个正则表达式(或使用迄今为止的一个很好的建议),可以排除我能想到的一切,但这还够吗?
Jef*_*ood 55
如果您认为URL不能包含代码,请再想一想!
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
读了那个,然后哭了.
以下是我们如何在Stack Overflow上执行此操作:
/// <summary>
/// returns "safe" URL, stripping anything outside normal charsets for URL
/// </summary>
public static string SanitizeUrl(string url)
{
return Regex.Replace(url, @"[^-A-Za-z0-9+&@#/%?=~_|!:,.;\(\)]", "");
}
Bel*_*ell 14
渲染链接"安全"的过程应该经历三个或四个步骤:
如果安全是一个优先事项,我希望用户在这个过程中会原谅一点偏执,即使它最终会丢掉一些安全链接.
Dav*_*vis 10
使用库,例如OWASP-ESAPI API:
阅读以下:
例如:
$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$esapi = new ESAPI( "/etc/php5/esapi/ESAPI.xml" ); // Modified copy of ESAPI.xml
$sanitizer = ESAPI::getSanitizer();
$sanitized_url = $sanitizer->getSanitizedURL( "user-homepage", $url );
另一个例子是使用内置函数.PHP的filter_var函数就是一个例子:
$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);
使用filter_var 允许 javascript调用,并筛选出既不是http也不是的方案https.使用OWASP ESAPI Sanitizer可能是最好的选择.
另一个例子是来自WordPress的代码:
此外,由于无法知道URL链接的位置(即,它可能是有效的URL,但URL的内容可能是恶作剧的),因此Google 可以调用安全的浏览 API:
滚动自己的正则表达式进行卫生设置是有问题的,原因如下:
其他需要考虑的问题:
file:///和telnet://可以接受的)?