我知道这个问题已经被问了一遍又一遍,但我仍然没有找到我喜欢的完美答案,所以这里再次...
我已经阅读了很多关于 CI 的 xss_filter 的两极分化评论。基本上大多数人都说这不好。有人可以详细说明它有多糟糕,或者至少给出 1 个最可能被利用的场景吗?我查看了 CI 2.1 中的安全类,我认为它非常好,因为它不允许恶意字符串,如 document.cookie、document.write 等。
如果该站点基本上没有 html 表示,那么在插入到数据库之前使用全局 xss_filter 是否安全(或者如果它真的对性能影响那么大,请在每个表单发布的基础上使用它)?我一直在阅读关于是否在输入/输出上转义的利弊,大多数人说我们应该只在输出上转义。但话又说回来,为什么要允许像 <a href="javascript:stealCookie()">Click Me</a>
这样的字符串呢?完全保存在数据库中?
我不喜欢的一件事是 javascript:
这样将转换为 [removed]
.我可以扩展 CI 的安全核心吗 $_never_allowed_str
数组,以便不允许的字符串返回空而不是 [removed]
.
我读过的最合理的错误示例是,如果用户的密码为 javascript:123
它将被清理成 [removed]123
这意味着像这样的字符串 document.write123
也将作为用户密码传递。话又说回来,这种情况发生的几率有多大,即使发生了,我也想不出会对网站造成任何真正的伤害。
谢谢
最佳答案
基本上 XSS 是一个输出问题 - 但 Codeigniter 将其作为输入问题处理。
Can someone elaborate how it's bad...
问题是 xss_clean 改变了您的输入 - 这意味着在某些情况下(例如您描述的密码问题)输入不是预期的。
...or at least give 1 most probable scenario where it can be exploited?
它只查找某些关键字,例如“javascript”。还有 xss_clean 未检测到的其他脚本操作,而且它不会保护您免受任何"new"攻击。
The one thing I don't like is javascript: and such will be converted to [removed]. Can I extend the CI's security core $_never_allowed_str arrays so that the never allowed strings return empty rather than [removed]
你可以这样做 - 但你只是在一个糟糕的解决方案上贴了创可贴。
I've been reading about pros and cons about whether to escape on input/output with majority says that we should escape on output only.
这是正确的答案 - 转义所有输出,并且您拥有真正的 XSS 保护,而无需更改输入。
OWASP explains more on XSS here
See a good Codeigniter forum thread on XSS
我个人在 Codeigniter 中保护 XSS 的方法是不对输入进行任何 XSS 清理。我在 _output 上运行了一个钩子(Hook)——它清除了我所有的“view_data”(这是我用来向 View 发送数据的变量)。
如果我不想让 XSS Clean 运行,我可以通过在我的 Controller 中插入一个“$view_data['clean_output'] = false”来切换,钩子(Hook)会检查它:
if (( ! isset($this->CI->view_data['clean_output'])) || ($this->CI->view_data['clean_output']))
{
// Apply to all in the list
$this->CI->view_data = array_map("htmlspecialchars", $this->CI->view_data);
}
这为我的整个网站提供了自动和全面的 XSS 保护 - 只需几行代码并且不会影响性能。
关于php - Codeigniter xss_clean 困境,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10925720/