php htmlspecialchars xss,PHP htmlspecialchars不能防御前端innerHTML产生的XSS注入

最新推荐文章于 2024-02-10 01:05:45 发布
最新推荐文章于 2024-02-10 01:05:45 发布
阅读量218 收藏
点赞数
文章标签: php htmlspecialchars xss

不要在JS里直接用innerHTML输出未经JS过滤的用户内容,

即使这些内容已经经过服务器端PHP的htmlspecialchars或者HTMLPurifier过滤.

比如下面的代码,页面将alert弹出字符串/xss/,因为JS会把变量中的Unicode字符\u003c和\u003e转换成输出.

//1

$xss = '\u003cimg src=1 οnerrοr=alert(/xss/)\u003e';

//XSS

$xss = '\u003ca href=javascript:alert(String.fromCharCode(88,83,83))\u003eXSS\u003c/a\u003e';

header('Content-Type: text/html;charset=utf-8');

?>

// PHP的htmlspecialchars不能过滤\u003c和\u003e,经过JS赋值后,Unicode字符\u003c和\u003e被转换成.

var xss = '<?php echo htmlspecialchars($xss, ENT_QUOTES, 'UTF-8'); ?>';

console.log(xss);

//$("#xss").html(xss); //能够执行alert(/xss/) document.getElementById("xss").innerHTML = xss;

//$("#xss").html(xss.replace(//g, ">")); //不能执行alert(/xss/)

//$("#xss").text(xss); //不能执行alert(/xss/) document.getElementById("xss").innerText = xss;

$(#xss).append(xss)跟$("#xss").html(xss)输出的都是HTML.

解决方法:

http://segmentfault.com/q/1010000004067521

毕竟很多时候要把AJAX加载的数据用innerHTML添加到页面.

值得注意的是,innerHTML本质也是输出HTML,

所以我们可以在输出前用JS像PHP的htmlspecialchars那样

把特殊字符(&,",',)替换为HTML实体(&"'<>).

或者干脆直接用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容.

Firefox不支持IE的innerText,但支持textContent.

StackOverflow上找到的两个实现:

function htmlspecialchars(str) {

return str

.replace(/&/g, "&")

.replace(/

.replace(/>/g, ">")

.replace(/"/g, """)

.replace(/'/g, "'");

}

function htmlspecialchars(str) {

var map = {

'&': '&',

'

'>': '>',

'"': '"',

"'": '''

};

return str.replace(/[&<>"']/g, function(k) { return map[k]; });

}

其中g表示全局(global)替换的意思,也就是把字符串中的所有匹配的内容都进行替换.

不过JS模仿PHP的htmlspecialchars是一刀切的方法,数据将丧失HTML特性.

请教下,对于前端AJAX(PJAX)过来后的HTML数据大家是怎么过滤XSS输出的呢?

经过PJAX测试后发现,AJAX返回的数据用jQuery的html()函数插入并不会因为Unicode字符\u003c和\u003e而发生XSS.

index.php:

Index

data.php

$(document).ready(function() {

$('#main').on('click','a',function(e) {

if(window.history.pushState) {

e.preventDefault(); //不跟随原链接跳转

url = $(this).attr('href');

$.ajax({

async: true,

type: 'GET',

url: 'data.php',

data: 'pjax=1',

success: function(data) {

window.history.pushState(null, null, url); //改变URL和添加返回历史

document.title = data.title; //设置标题

$('#main').html(data.main); //这里并不会因为Unicode字符\u003c和\u003e而发生XSS

//$('#main').html('\u003cimg src=1 οnerrοr=alert(/xss/)\u003e'); //直接赋值字符串则会发生XSS

}

});

} else {

return; //低版本IE8等不支持HTML5 pushState,直接返回进行链接跳转

}

});

});

data.php:

if(isset($_GET['pjax'])) {

//PJAX请求返回JSON

$arr['title'] = 'Data';

$arr['main'] = '\u003cimg src=1 οnerrοr=alert(/xss/)\u003e';

header('Content-Type: application/json; charset=utf-8');

echo json_encode($arr);

} else {

//常规请求返回HTML

?>

Data
\u003cimg src=1 οnerrοr=alert(/xss/)\u003e
一围篱笆闲
关注
前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9829
HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSSHTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
xss防御html属性输出,Web安全之XSShtmlspecialchars,href输出,js输出
weixin_32836221的博客
06-05 440
xsshtmlspecialcharshtmlspecialchars()是PHP里面把预定义的字符转换为HTML实体的函数预定义的字符是& 成为 &amp" 成为 &quot‘ 成为 '< 成为 &lt> 成为 &gt可用引号类型ENT_COMPAT:默认,仅编码双引号ENT_QUOTES:编码双引号和单引号ENT_NOQUOTES:不编码任...
php添加html代码,PHP: htmlspecialchars - Manual
weixin_42524401的博客
03-09 92
ProblemIn many PHP legacy products the function htmlspecialchars($string) is used to convert characters like < and > and quotes a.s.o to HTML-entities. That avoids the interpretation of HTML Tag...
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入
3Q阿斌 php专栏
12-13 2307
addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入 一、转义或者转换的目的     1. 转义或者转换字符串防止sql注入     2. 转义或者转换字符防止html非过滤引起页面布局变化     3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意
htmlspecialchars() 函数过滤XSS的问题
热门推荐
qlxmy的博客
03-05 1万+
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,character-set,double_en
XSShtmlspecialchars
天天学安全专属博客
10-06 2650
XSShtmlspecialchars,详细讲解htmlspecialchars
跨站脚本漏洞(XSS)基础讲解(php处理防止XSS攻击类)
chenpeng0708的博客
04-14 1642
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执...
前端和后端防御xss
08-13
前端和后端都可以采取措施来防御跨站脚本攻击(XSS)。 在前端,可以采取以下措施: 1. 输入验证和过滤:对用户输入的数据进行验证,并过滤掉潜在的恶意脚本。可以使用安全的HTML编码库,如DOMPurify或he.js,来对...
XSS攻击及防御总结和各平台通关思路
qq_43710889的博客
08-05 3513
XSS原理 跨站脚本攻击XSS(cross site scripting)。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采用cookie窃取、会话劫持、钓鱼欺骗等各种攻击。 漏洞存在的主要原因: 参数输入未经过安全过滤 恶意脚本被输出到网页 用户的浏览器执行了恶意脚本 XSS漏洞分类 1.反射型XSS 也称非持久型、参数型跨站脚本。主要用于恶意脚本附加在URL地址的参数中。他需要欺骗
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4725
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
php htmlspecialchars xss,php – 正确使用时,htmlspecialchars是否足以保护所有XSS
weixin_30160343的博客
03-10 131
htmlspecialchars()足以防止文档创建时间HTML注入与您所述的限制(即不注入标签内容/未引用属性).但是还有其他种类的注射可以导致XSS:There are no tags in the document.这种情况并不涵盖JS注射的所有情况.例如,您可能有一个事件处理程序属性(需要在HTML转义中进行JS转义):...
PHP htmlspecialchars不能防御前端innerHTML产生XSS注入
weixin_34232617的博客
02-28 413
为什么80%的码农都做不了架构师?>>> ...
XSS漏洞---关于htmlspecialchars()函数
Ethan024的博客
03-14 700
XSS漏洞(本文仅供技术学习与分享) 关于htmlspecialchars()函数 htmlspecialchars()函数把预定义的字符转换成HTML实体,这些字符包括: 但是默认方法类型不对单引号进行过滤,比如: 可用的引号类型: ENT_COMPAT — 默认。进编码双引号 ENT_QUOTES — 编码双引号和单引号 ENT_NOQUOTES — 不编码任何引号 实验准备 皮卡丘平台,xsshtmlspecialchars 实验步骤: 输入危险字符串,并查看后台源码。发现双引号和尖括号被
皮卡丘xsshtmlspecialchars、xss之href输出、xss之js输出
Fly_Mojito的博客
05-30 1109
皮卡丘xsshtmlspecialchars、xss之href输出、xss之js输出
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4830
xss绕过和htmlspecialchars函数绕过
你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
最新发布
cul1n的博客
02-10 2166
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML的标签、结束标签、字符引用和实体引用。
XSS 攻击时怎么绕过 htmlspecialchars 函数
qq_52973916的博客
10-11 1306
XSS 攻击时怎么绕过 htmlspecialchars 函数
php htmlspecialchars 不管用,php htmlspecialchars函数怎么用
weixin_42601608的博客
03-18 180
PHP htmlspecialchars函数用于将特殊字符转换为 HTML 实体,其语法是htmlspecialchars(string,flags,character-set,double_encode),参数string 必须,指规定要转换的字符串。php htmlspecialchars函数怎么用?php htmlspecialchars()函数 语法作用:函数把预定义的字符转换为 HTML...
防御XSS innerText
04-10 229
输入,不用.innerHTML,用innerText。 2、对用户输入进行过滤,如 HTMLEncode 函数实现应该至少进行 &amp; &lt; &gt; " ' / 等符号转义成 &amp;amp &amp;lt &amp;gt &amp;quot &amp;#x27 &amp;#x2F;
PHP开发安全实践:防止XSS与SQL注入
前端进行的JavaScript验证只能提供基本的用户体验,但不能作为安全防线,因为用户可以禁用JavaScript或者直接向服务器发送恶意POST数据。因此,服务器端的验证至关重要。开发者应使用PHP对所有接收到的数据进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值