※ 引述《dp2046 (Kevin)》之銘言:
: 推 vencil: XSS本來就難防了 就連知名的框架也是不少見被挖出來 02/05 13:10
防 XSS 的重點在於要把 escape 搞懂:在不同的情境下要用不同的 escape
function,不是每個都拿同樣的 escape function。
搞懂就沒有很難防,大多數人只是沒有下功夫。
拿 PHP 來說好了,先假設要傳的 $data 是個不安全的字串,這些情境下要用哪些
escape function:
1. 在 html5 裡,某個 table 裡要呈現的資料:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<table>
<tr>
<td><?= $data ?></td>
</tr>
</table>
</body>
</html>
2. 在 html5 裡,某個 a link 裡的連結 (連結當然是個字串):
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="<?= $data ?>">link</a>
</body>
</html>
3. 在 html5 裡,某個 a link 裡的連結,裡面的 query string 變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<a href="https://example.com/api?foo=<?= $data ?>"</a>
</body>
</html>
然後這邊假設 $data 是個二維 array,裡面都是字串 (像是
[["a", "b"], ["c", "d"]] 這樣):
4. 在 html5 裡,inline js 的變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<button onclick="javascript:f(<?= $data ?>);">test</button>
</body>
</html>
5. 在 html5 裡,js block 的變數:
<!doctype html>
<head>
<meta charset="utf-8"/>
</head>
<html>
...
<body>
<script>
<!