我阻止了'script'这个词在我的服务器端提交php验证并使用了htmlentities和strip函数。这会保护所有与javascript相关的攻击吗?
答案 0 :(得分:1)
不,有很多攻击媒介,因为javascript和标记被解释,浏览器喜欢自动修复用户的拼写错误,而且有些浏览器在css中对javascript有不安全的专有支持等等你可以阻止“脚本”但是“怎么样” sc ript“(有些浏览器会修复它)或”scrscriptipt“吗?当您的简单验证器删除一个脚本时,它实际上会留下另一个脚本它需要递归。那么onload,onblur,onmove等呢?有太多不起眼的黑客: http://ha.ckers.org/xss.html
此外,只需能够获取链接或更糟糕的图像标记将允许用户使您的客户端和页面上的其他人做出任意GET请求,包括模仿管理表单(如果您错误地允许GET和POST)你的意见 - 为什么你认为Facebook重写所有发布的链接,首先通过他们的代理。
对于一个人来说,追踪自己是太过分了。您应该查看一个像这样的开源库,人们在解决方案上一起工作并在找到新的漏洞时进行更新: http://htmlpurifier.org/(php)
我确定其他语言也有同等价值。