※ 引述《dp2046 (Kevin)》之铭言:
: 推 vencil: XSS本来就难防了 就连知名的框架也是不少见被挖出来 02/05 13:10
防 XSS 的重点在于要把 escape 搞懂:在不同的情境下要用不同的 escape
function,不是每个都拿同样的 escape function。
搞懂就没有很难防,大多数人只是没有下功夫。
拿 PHP 来说好了,先假设要传的 $data 是个不安全的字串,这些情境下要用哪些
escape function:
1. 在 html5 里,某个 table 里要呈现的资料:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<table>
<tr>
<td><?= $data ?></td>
</tr>
</table>
</body>
</html>
2. 在 html5 里,某个 a link 里的连结 (连结当然是个字串):
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="<?= $data ?>">link</a>
</body>
</html>
3. 在 html5 里,某个 a link 里的连结,里面的 query string 变量:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="https://example.com/api?foo=<?= $data ?>"</a>
</body>
</html>
然后这边假设 $data 是个二维 array,里面都是字串 (像是
[["a", "b"], ["c", "d"]] 这样):
4. 在 html5 里,inline js 的变量:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<button onclick="javascript:f(<?= $data ?>);">test</button>
</body>
</html>
5. 在 html5 里,js block 的变量:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<script>
<!