现实中大多数的WEB应用程序并非都脆弱不堪,漏洞百出,事实上,一个优秀负责的开发人员或团队是不容许自己的程序代码出现任何BUG或漏洞。通常情况下,为了防御跨站脚本攻击,会在WEB应用中设计一个XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并消除潜在跨站脚本攻击、恶意的HTML或者简单的HTML格式错误等。
XSS Filter一般是基于黑白名单的安全过滤策略,即把要处理的数据分成白名单和黑名单两大列表,白名单存放可以信赖的对应用程序不构成威胁的数据列表,黑名单则相反。假定某个应用程序使用了基于黑名单式的过滤策略,那么当用户提交信息时,该系统的XSS Filter会对所有的输入进行检验,如检测到黑名单中的数据便进行拦截、编码和消毒过滤处理。XSS Filter实际上是一段精心编写的过滤函数,参看如下一段代码:
function dhtmlspecialchars($string){
if(is_array($string)){
foreach($string as $key = > $val){
$string[$key] = dhtmlspecialchars($val);
}
}
else{
string = preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4})|[a-zA-Z][a-z0-9]{2,5});)/','&\\1',str_replace(array('&','"','<','>'),array('&