Str*_*rae 11 html javascript php security xss
我开发了一个Web应用程序,允许我的用户在LAMP环境中动态管理网站的某些方面(是的,某种cms)(debian,apache,php,mysql)
好吧,例如,他们在我的服务器上的私人区域创建新闻,然后通过cURL请求(或通过ajax)在他们的网站上发布.
这个消息是用WYSIWYG编辑器创建的(fck at moment,可能是未来的tinyMCE).
所以,我不能禁止html标签,但我怎么能安全?我必须删除什么样的标签(javascripts?)?这意味着服务器安全..但如何"合法"安全?如果用户使用我的应用程序制作xss,我可以遇到一些法律问题吗?
DGM*_*DGM 15
如果你使用的是php,一个很好的解决方案就是使用HTMLPurifier.它有很多选项可以过滤掉不好的东西,并且作为副作用,可以保证形成良好的html输出.我用它来查看可能是恶劣环境的垃圾邮件.
Gav*_*ler 11
你要删除的内容并不重要,有人会总能找到解决问题的方法.作为参考,请看一下这个XSS备忘单.
例如,您将如何删除此有效的XSS攻击:
<IMG SRC=javascript:alert('XSS')>
您最好的选择是只允许可接受标签的子集并删除其他任何内容.这种做法被称为白名单,是防止XSS的最佳方法(除了不允许使用HTML).
在测试中也使用备忘单; 在您的网站上尽可能多地开火,并尝试找到一些方法来执行XSS.