XSS构造剖析(上)

现实中大多数的WEB应用程序并非都脆弱不堪,漏洞百出,事实上,一个优秀负责的开发人员或团队是不容许自己的程序代码出现任何BUG或漏洞。通常情况下,为了防御跨站脚本攻击,会在WEB应用中设计一个XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并消除潜在跨站脚本攻击、恶意的HTML或者简单的HTML格式错误等。

XSS Filter一般是基于黑白名单的安全过滤策略,即把要处理的数据分成白名单和黑名单两大列表,白名单存放可以信赖的对应用程序不构成威胁的数据列表,黑名单则相反。假定某个应用程序使用了基于黑名单式的过滤策略,那么当用户提交信息时,该系统的XSS Filter会对所有的输入进行检验,如检测到黑名单中的数据便进行拦截、编码和消毒过滤处理。XSS Filter实际上是一段精心编写的过滤函数,参看如下一段代码:

function dhtmlspecialchars($string){
    if(is_array($string)){
       foreach($string as $key = > $val){
           $string[$key] = dhtmlspecialchars($val);
       }
    }
    else{
       string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4})|[a-zA-Z][a-z0-9]{2,5});)/','&\\1',str_replace(array('&','"','<','>'),array('&
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值