PHP跨站脚本攻击(XSS)漏洞修复思路(二)
上一篇文章《PHP 跨站脚本攻击(XSS)漏洞修复方法(一)》写到了 360 修复 XSS 漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。
从上一篇文章看出,部署了 360 出的 XSS 修复插件之后,至少还存在 iframe 无法过滤缺憾,是否还有其他纰漏目前还不得而知。
分析一下中国博客联盟和张戈博客已开放的数据入口:
①、中国博客联盟,主要有搜索、后台博客提交等; ②、张戈博客(WordPress),主要是用户评论提交;
所以,本文就已这 2 个入口为例子,来分享 XSS 漏洞修复的简单思路。
一、完全过滤
问题①,我可以找到站内搜索和博客提交这 2 个开放入口的数据处理 php,然后对数据过滤即可。
比如站内搜索,中国博客联盟取得搜索关键词是这样一行代码:
$keyword = addslashes(trim($_GET['query']));考虑到中国博客联盟的站内搜索,只能搜索博客名称、域名、类型及描述这四种,而这四种均不需要出现 html 代码!如果有人提交搜索了 html 代码,绝非善意!
那对于这种情况,我只需要完全过滤掉 html 内容即可!所以可以用到 strip_tags()函数,具体运用如下:
$keyword = strip_tags(addslashes(trim($_GET['query'])));在数据外套上 strip_tags 进行 html 完全过滤即可!那么系统后台得到的数据就是不含任何 html 代码的。
比如,依然搜索 360 爆出的“88888<iframe src=http://xxooxxoo.js>”:
从搜索结果可以看出,系统已自动过滤了后面的 iframe 恶意内容,问题得到解决。
因此,对于 XSS 漏洞的第一种修复方法就是使用 strip_tags 函数来完全过滤 html 内容。
二、代码转义
问题②,WordPress 的评论并不能如此暴力的过滤,因为很多用户确实是想提交一些 html 代码,来进行交流。
对于这种情况,有 3 种思路:
ajax 方式的评论都会用到主题下的 comment-ajax.php 文件,所以我们编辑这个文件,搜索$comment_type = '',然后在这行后面添加以下三种方法中,你所中意的代码:
A. 直接过滤,允许提交
if ( '' != $comment_content ) {
/* $filter 是需要过滤的关键词,关键词之间用分隔符 | 隔开即可。 */
$filter = '/<(iframe|script)/i';
if (preg_match($filter,$comment_content,$matches)) {
$comment_content = strip_tags($comment_content);
}
}效果截图:
B. 提出警告,禁止提交
if ( '' != $comment_content ) {
/* $filter 是需要过滤的关键词,关键词之间用分隔符 | 隔开即可。 */
$filter = '/<(iframe|script)/i';
if (preg_match($filter,$comment_content,$matches)) {
err( __('警告:评论含有危险内容,已被拦截,请在更正后重试。') );
}
}效果截图:
C. 内容转义,允许提交
if ( '' != $comment_content ) {
/* $filter 是需要过滤的关键词,关键词之间用分隔符 | 隔开即可。 */
$filter = '/<(iframe|script)/i';
if (preg_match($filter,$comment_content,$matches)) {
$comment_content = htmlspecialchars($comment_content).'<br />(<font color="red">系统提示:评论含危险内容,已被转义处理。</font>)';
}
}效果截图:
其中过滤列表只写了 iframe 和 script2 种,如果你需要过滤其他你不喜欢的内容,比如某些人评论总是带上链接,这些都是可以过滤的!反正方法我已经分享了,具体就看你自行发挥了!
Ps:其实 WordPress 本身已屏蔽了 XSS 漏洞,评论是不允许一些 html 代码的, 比如 font 字体标签等。本文也只是为了探讨修复 XSS 漏洞的一个简单思路,临时关闭了 HTML 过滤。为了安全起见,非特殊情况,还是不要禁止 WordPress 自带的 HTML 过滤为好!
最后,再去用 360 扫一扫,已经是“满意 100”了:
好了,关于 XSS 漏洞的简单修复思路的探讨,就暂告一段落,后续有新的见解再来补充完善。
- Mysql-2
- Django---时间的时区问题
- Spring Security笔记:登录尝试次数限制
- day2、Linux别名
- 向jboss写入服务器日志
- day3、Linux快捷键及vim命令快捷键
- jboss:跟踪所有sql语句及sql参数
- django:DateTimeField如何自动设置为当前时间并且能被修改 ——django日期时间字段的使用
- logback + slf4j + jboss + spring mvc
- Oracle XE http端口8080的修改
- django之对FileField字段的upload_to的设定
- JAVA_HOME环境变量失效的解决办法
- JBOSS EAP 6.0+ Standalone模式安装成Windows服务
- Django 设置media static
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC
- Python QTimer实现多线程及QSS应用过程解析
- PHP count()函数讲解
- Laravel中9个不经常用的小技巧汇总
- PHP simplexml_load_string()函数实例讲解
- php文件操作之文件写入字符串、数组的方法分析
- php xhprof使用实例详解
- PHP获取远程http或ftp文件的md5值的方法
- PHP addslashes()函数讲解
- PHP+swoole+linux实现系统监控和性能优化操作示例
- PHP中PCRE正则解析代码详解
- tensorflow 2.1.0 安装与实战教程(CASIA FACE v5)
- 使用Tensorflow-GPU禁用GPU设置(CPU与GPU速度对比)
- python 抓取知乎指定回答下视频的方法
- 基于python实现计算两组数据P值
- PHP getNamespaces()函数讲解