处理安全性和避免使用用户输入URL的XSS的最佳方法

如果您认为URL不能包含代码,请重新考虑!

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

读着读着,然后哭泣。

下面是在堆栈溢出时的操作方法:

/// <summary>
/// returns "safe" URL, stripping anything outside normal charsets for URL
/// </summary>
public static string SanitizeUrl(string url)
{
    return Regex.Replace(url, @"[^-A-Za-z0-9+&@#/%?=~_|!:,.;\(\)]", "");
}

将链接呈现为“安全”的过程应经历三个或四个步骤:

• unescape/重新编码所给的字符串(rsnake在 http://ha.ckers.org/xss.html 使用转义和UTF编码)。
• 清除链接:正则表达式是一个很好的开始-确保截断字符串,或者如果字符串中包含“(或用于关闭输出中属性的任何内容),则将其丢弃;如果只作为对其他信息的引用进行链接,则也可以在此过程结束时强制使用协议-如果第一个冒号之前的部分不是“http”或“https”,然后将“http://”附加到开头。这允许您从不完整的输入创建可用的链接,因为用户会在浏览器中键入内容,并为您提供最后一个机会,让您绊倒任何人试图潜入的恶作剧。
• 检查结果是否为格式正确的URL(protocol://host.domain[:port][/path][[文件]][?queryfield=queryvalue][锚定])。
• 可能根据网站黑名单检查结果,或者尝试通过某种恶意软件检查器获取结果。

如果安全性是一个优先事项,我希望用户在这个过程中能够原谅一些偏执,即使它最终会丢弃一些安全链接。

使用库,如owasp-esapi api:

• PHP- http://code.google.com/p/owasp-esapi-php/
• 爪哇- http://code.google.com/p/owasp-esapi-java/
• .NET http://code.google.com/p/owasp-esapi-dotnet/
• 蟒蛇- http://code.google.com/p/owasp-esapi-python/

阅读以下内容:

• https://www.golemtechnologies.com/articles/prevent-xss#how-to-prevent-cross-site-scripting
• https://www.owasp.org/
• http://www.secbytes.com/blog/?p=253

例如:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$esapi = new ESAPI( "/etc/php5/esapi/ESAPI.xml" ); // Modified copy of ESAPI.xml
$sanitizer = ESAPI::getSanitizer();
$sanitized_url = $sanitizer->getSanitizedURL( "user-homepage", $url );

另一个例子是使用内置函数。PHP的 filter_var 函数就是一个例子:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);

使用 filter_var allows javascript调用,并筛选出既不是 http 也不 https . 使用 OWASP ESAPI Sanitizer 可能是最好的选择。

还有一个例子是来自 WordPress :

• http://core.trac.wordpress.org/browser/tags/3.5.1/wp-includes/formatting.php#L2561

此外,由于无法知道URL链接的位置(即,它可能是一个有效的URL,但URL的内容可能是有害的),所以Google有一个 safe browsing 您可以调用的API:

• https://developers.google.com/safe-browsing/lookup_guide

为了卫生而滚动自己的regex有几个问题:

• 除非你是乔恩·斯基特,否则代码会有错误。
• 现有的API背后有许多小时的审查和测试。
• 现有的URL验证API考虑国际化。
• 现有的API将与新出现的标准保持同步。

其他需要考虑的问题:

• 你允许什么计划 file:/// 和 telnet:// 可接受的)?
• 您希望对URL的内容设置哪些限制(是否接受恶意软件URL)?

输出链接时只需htmlencode。确保你不允许 javascript: 链接。(最好有一个被接受的协议白名单,例如http、http s和mailto。)

如果您没有指定应用程序的语言,我将假定为ASP.NET,为此,您可以使用 Microsoft Anti-Cross Site Scripting Library

它非常容易使用,您所需要的只是一个include,即它:)

当你在讨论这个话题时,为什么不读一下 Design Guidelines for Secure Web Applications

如果有其他语言……如果有一个用于ASP.NET的库,那么它也必须可用于其他类型的语言(PHP、Python、ROR等)。

不把它们显示为链接怎么样?只需使用文本。

再加上一个警告,以你自己的风险继续下去可能就足够了。

附加 -也见 Should I sanitize HTML markup for a hosted CMS? 有关清理用户输入的讨论

在用javascript编写的项目中,我使用这个regex作为白名单:

 url.match(/^((https?|ftp):\/\/|\.{0,2}\/)/)

唯一的限制是,对于同一目录中的文件,您需要将./放在前面,但我认为我可以接受。

可以使用十六进制代码转换整个URL并将其发送到服务器。这样,客户就无法理解第一眼看到的内容。读取内容后,您可以解码内容url=?并发送到浏览器。

允许URL和允许JavaScript是两个不同的东西。