6
Tôi đã tự hỏi về tính bảo mật của việc sử dụng hàm htmlentities() chống lại các cuộc tấn công XSS và có thể các chức năng liên quan như htmlspecialchars.Là htmlentities() bullet proof?
thanks a lot :)
A
Trả lời
8
Bạn sẽ cần phải chỉ định rõ ràng mã hóa thích hợp (ví dụ: utf-8), Chris đã có một bài về cách đưa mã thậm chí htmlentities gọi mà không cần mã hóa thích hợp.
4
Nó không phải là chống đạn, nó không bao giờ giúp bạn tiết kiệm 100%. Bạn phải nhớ rằng khi nói đến an ninh, nhà phát triển chịu trách nhiệm về nó. Ngôn ngữ cung cấp các chức năng bảo mật tốt và nhiều hơn nữa, do đó, nhà phát triển có thể bảo mật trang web của họ cho dù họ sử dụng phương pháp tiếp cận danh sách trắng hoặc phương pháp tiếp cận danh sách cấm. Nếu htmlentities là tất cả, khuôn khổ như codeigniter, kohana và nhiều hơn nữa sẽ không có đến với các chức năng bảo mật tuyệt vời của riêng mình.
Điều quan trọng nhất là vệ sinh và lọc bất kỳ đầu vào nào đến từ người dùng.
0
Không, các chức năng như htmlspecialchars và htmlentities không được bảo vệ chống lại tất cả các trường hợp Script Cross-Site Scripting.
Các trường hợp trong đó các chức năng sẽ không giúp là:
- Các khai thác dữ liệu không đạt máy chủ (DOM dựa trên XSS).
- Dữ liệu khai thác không được diễn giải trong ngữ cảnh HTML và các ký tự đặc biệt được mã hóa bởi các chức năng này là not required hoặc not the only ones that are special in the corresponding context.
Đặc biệt lý do sau thường bị bỏ qua. Có rất nhiều ví dụ trong số OWASP’s XSS Prevention Cheat Sheet cho nơi tiêm có thể xảy ra trong tài liệu HTML. Nhưng không phải tất cả yêu cầu bất kỳ ký tự đặc biệt HTML nào để tiêm và thực thi mã JavaScript.
Các vấn đề liên quan
- 1. GPU- "Proof" Hash Function (s)?
- 2. htmlentities() so với htmlspecialchars()
- 3. Htmlentities vs addslashes vs mysqli_real_escape_string
- 4. Lỗi 'multibyte Sequence' của htmlentities '
- 5. htmlentities và é (e cấp tính)
- 6. Symfony2: Auto htmlentities sử dụng cành
- 7. Làm cách nào để tạo đầu trang Bullet của RadioButton?
- 8. Thêm trình xử lý nhấp chuột vào LI bullet
- 9. Cách lập trình thêm danh sách bullet vào NSTextView
- 10. Mã nguồn trong Danh sách Bullet với reStructuredText
- 11. utf-8 và htmlentities trong nguồn cấp dữ liệu RSS
- 12. htmlentities() thực thể mã hóa kép trong chuỗi
- 13. PHP htmlentities không hoạt động ngay cả với tham số
- 14. Unicode glyphs cho các từ khóa và toán tử trong Coq/Proof General theo Emacs
- 15. Điều gì có một quán tính quán tính bằng 0 trong Bullet?
- 16. Làm thế nào để chuyển đổi điểm bullet thành danh sách nằm ngang?
- 17. làm cách nào tôi có thể đặt hình ảnh bullet tùy chỉnh của thẻ li?
- 18. Tạo danh sách Bullet trên tài liệu từ bằng Java với Apache POI API
- 19. PHP htmlentities không đủ để ngăn chặn tin tặc tiêm html từ biểu mẫu
- 20. Làm thế nào để loại bỏ htmlentities() giá trị từ cơ sở dữ liệu?
- 21. Tìm/Thay thế htmlentities bằng cách sử dụng chuỗi công cụ Linux chuẩn?
- 22. htmlentities PHP() trên đầu vào trước khi DB chèn, thay vì trên đầu ra
- 23. "Bước" có nghĩa là gì trong bước Mô phỏng và các tham số của nó có ý nghĩa gì trong Bullet Physics?
- 24. Bullet Physics Broadphase Lọc Callback để lọc hình dạng cá nhân bên trong một cơ thể hợp chất
- 25. Có phải htmlentities() và mysql_real_escape_string() đủ để làm sạch đầu vào của người dùng trong PHP không?
- 26. Điều gì sẽ là ký tự Unicode cho dấu đầu dòng lớn ở giữa ký tự?
- 27. Là loại unsigned ngắn + int thực hiện được xác định?
- 28. Cơ hội nhận được một Guid.NewGuid() trùng lặp là gì?
- 29. Làm thế nào để xác định xem một chuỗi là JSON hợp lệ?
- 30. Một số nguyên lý cơ bản của thiết kế giao diện là gì?
Cảm ơn rất nhiều đó là chính xác loại chứng minh tôi đang tìm kiếm :) tôi phải nghiên cứu các vấn đề về mã hóa. Bạn có biết một số tài liệu tốt về điều đó không? – fatmatto
Tôi khuyến khích bạn đọc một ví dụ về thế giới thực của Gmail liên hệ với xss, và đọc phần khai thác, có thể tải xuống trong bài viết dưới đây, hy vọng sẽ cung cấp cho bạn một số ý tưởng về cách viết mã bảo mật: http://uneasysilence.com/ Lưu trữ/2007/01/9025/ Và đây là một bảng lừa đảo bạn có thể thấy hữu ích: http://openmya.hacker.jp/hasegawa/security/utf7cs.html –
Cảm ơn bạn rất nhiều: D – fatmatto