Предотвращение XSS (межсайтового скриптинга)
Допустим, у меня есть простое приложение для ведения блога ASP.NET MVC, и я хочу разрешить читателям добавлять комментарии к сообщению в блоге. Если я хочу предотвратить любые типы XSS-махинаций, я мог бы HTML-кодировать все комментарии, чтобы они становились безопасными при рендеринге. Однако что, если бы я хотел использовать базовые функции некоторый, такие как гиперссылки, выделение жирным шрифтом, курсив и т. д.?
Я знаю, что StackOverflow использует Редактор разметки WMD, который кажется отличным выбором для того, что я пытаюсь выполнить, если бы не тот факт, что он поддерживает оба HTML и Markdown, который оставляет его открытым для XSS-атак.
Ответы 7
Сколько HTML вы собираетесь поддерживать? Полужирным шрифтом / курсивом / основным шрифтом? В этом случае вы можете преобразовать их в синтаксис уценки, а затем удалить остальную часть HTML.
Разборку необходимо выполнить на стороне сервера, прежде чем вы ее сохраните. Вам также необходимо проверить ввод на сервере при проверке SQL-уязвимостей и других нежелательных вещей.
Право на. Используйте подход с использованием белого списка, а не черного списка.
Я предлагаю вам использовать только синтаксис уценки. Во внешнем интерфейсе клиент может ввести уценку и иметь предварительный просмотр HTML (так же, как SO), но только на стороне сервера отправить синтаксис уценки. Затем вы можете проверить его, сгенерировать HTML, избежать его и сохранить.
Я считаю, что так поступает большинство из нас. В любом случае уценка предназначена для того, чтобы избавить кого-либо от написания структурированного HTML-кода и дать власть тем, кто даже не знает, как это сделать.
Если есть что-то конкретное, что вы хотите сделать с HTML, вы можете настроить его с помощью наследования CSS ».comment a {color: # F0F; } ', интерфейс JS или просто пройдитесь по сгенерированному HTML от разметки Markdown перед его сохранением.
Почему бы тебе не использовать код Джеффа? http://refactormycode.com/codes/333-sanitize-html
Вы можете использовать белый список HTML, чтобы можно было использовать определенные теги, но все остальное было заблокировано.
Есть инструменты, которые могут сделать это за вас. SO использует код, что Слау связан.
Я бы проголосовал за FCKEditor, но вам нужно сделать дополнительные шаги для возвращенного вывода тоже.
Если вы не хотите использовать редактор, вы можете рассмотреть АнтиСами из OWASP.
Вы можете запустить пример здесь: http://www.antisamy.net/
Если нужно сделать это в браузере: http://code.google.com/p/google-caja/wiki/JsHtmlSanitizer
вы никогда не можете доверять пользовательскому вводу, все, что исходит из браузера, может быть подделано
@rjlopes - это не проблема, если вы пытаетесь очистить контент с сервера для представления на клиенте.
по моей вине я предположил, что это должно было применяться на клиенте перед отправкой информации на сервер. Однако в этом конкретном случае (вы контролируете сервер) нет смысла проводить дезинфекцию на клиенте. Единственный случай, когда это может быть полезно, - это когда вы выполняете ajax-запросы к сторонним веб-сайтам.
@rjlopes Это может произойти и на клиенте законно, но не так, как сервер. Тяжелому приложению Ajax часто требуется синхронизировать состояние ч / б браузера и сервера. Когда пользователь что-то меняет, клиент оптимистично обновляет свою модель перед отправкой на сервер для обновления авторитетной модели, чтобы приложение ajax выглядело отзывчивым. Поле редактирования комментария - хороший пример. Редактор вопросов Stack overflow позволяет пользователю писать некоторую смесь разметки / HTML, которую он может отображать в панели предварительного просмотра без обращения к серверу по мере ввода пользователем.
Для целей поиска может быть полезно изменить заголовок на «Предотвращение XSS (межсайтовый скриптинг)». Тем, кто не знает его понятного имени, XSS, может быть труднее найти эту ветку.