Najlepszy sposób radzenia sobie z bezpieczeństwem i unikania XSS z adresami URL wprowadzonymi przez użytkownika

Proces renderowania linku "bezpiecznego" powinien przejść trzy lub cztery kroki:

• Unescape / re-encode the string you ' ve been given (RSnake udokumentował wiele trików w http://ha.ckers.org/xss.html które używają kodowania ucieczki i UTF).
• Wyczyść łącze: wyrażenia regularne są dobrym początkiem - upewnij się, że obcinasz łańcuch lub wyrzucasz go, jeśli zawiera " (lub cokolwiek, czego używasz, aby zamknąć atrybuty w wyjściu); jeśli robisz łącza tylko jako odniesienia do innych informacji można również wymusić protokół na końcu tego procesu-jeśli część przed pierwszym dwukropkiem nie jest "http" lub "https", dodaj "http: / /" do początku. Pozwala to na tworzenie użytecznych linków z niekompletnego wejścia, gdy użytkownik wpisuje się w przeglądarkę i daje ostatnią szansę na potknięcie się, niezależnie od tego, co ktoś próbował się wkraść.
• Sprawdź, czy wynik jest dobrze uformowany URL (protokół: / / host.domena [: port] [/ścieżka] [/[plik]] [?queryField=queryValue] [#anchor]).
• ewentualnie sprawdź wynik na czarnej liście witryny lub spróbuj pobrać go za pomocą jakiegoś programu do sprawdzania złośliwego oprogramowania.

Jeśli Bezpieczeństwo jest priorytetem, mam nadzieję, że użytkownicy wybaczą trochę paranoi w tym procesie, nawet jeśli skończy się to wyrzuceniem niektórych bezpiecznych linków.

Użyj biblioteki, takiej jak OWASP-ESAPI API:

• PHP - http://code.google.com/p/owasp-esapi-php /
• Java - http://code.google.com/p/owasp-esapi-java /
• . NET- http://code.google.com/p/owasp-esapi-dotnet /
• Python - http://code.google.com/p/owasp-esapi-python /

Czytaj po:

• https://www.golemtechnologies.com/articles/prevent-xss#how-to-prevent-cross-site-scripting
• https://www.owasp.org/
• http://www.secbytes.com/blog/?p=253

Na przykład:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$esapi = new ESAPI( "/etc/php5/esapi/ESAPI.xml" ); // Modified copy of ESAPI.xml
$sanitizer = ESAPI::getSanitizer();
$sanitized_url = $sanitizer->getSanitizedURL( "user-homepage", $url );

Innym przykładem jest użycie wbudowanej funkcji. Funkcja PHP filter_var jest przykładem:

$url = "http://stackoverflow.com"; // e.g., $_GET["user-homepage"];
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);

Za pomocą filter_var pozwala na wywołania javascript i filtruje schematy, które nie są ani http ani https. Korzystanie z OWASP ESAPI Sanitizer jest prawdopodobnie najlepszą opcją.

Jeszcze jeden przykład to kod z WordPress:

• http://core.trac.wordpress.org/browser/tags/3.5.1/wp-includes/formatting.php#L2561

Dodatkowo, ponieważ nie ma sposobu, aby dowiedzieć się, gdzie linki URL (tj. może to być poprawny adres URL, ale zawartość adresu URL może być złośliwa), Google ma Bezpieczne przeglądanie API można wywołanie:

• https://developers.google.com/safe-browsing/lookup_guide

Wgrywanie własnego regex ' u do kanalizacji jest problematyczne z kilku powodów:

• jeśli nie jesteś Jon Skeet, kod będzie zawierał błędy.
• istniejące interfejsy API mają za sobą wiele godzin przeglądu i testowania.
• istniejące interfejsy API weryfikujące adres URL uwzględniają internacjonalizację.
• istniejące interfejsy API będą aktualizowane wraz z nowymi standardy.

Inne kwestie do rozważenia:

• jakie programy zezwalasz (są file:/// i telnet:// akceptowalne)?
• jakie ograniczenia chcesz umieścić na zawartości adresu URL (czy URL złośliwego oprogramowania jest akceptowalny)?

Po prostu HTMLEncode linki, gdy je wypisujesz. Upewnij się, że nie zezwalasz na javascript: linki. (Najlepiej mieć białą listę akceptowanych protokołów, np. http, https i mailto.)

Nie podajesz języka aplikacji, wtedy zakładam ASP.NET do tego możesz użyć Microsoft Anti-Cross Site Scripting Library

Jest bardzo łatwy w użyciu, wystarczy tylko include i tyle:)

Skoro już jesteś w temacie, dlaczego nie przeczytać wytycznych dotyczących projektowania bezpiecznych aplikacji internetowych

Jeśli w jakimkolwiek innym języku.... jeśli istnieje biblioteka dla ASP.NET, musi być dostępna również dla innych języków (PHP, Python, ROR, etc)

A może nie wyświetlać ich jako linka? Po prostu użyj tekstu.

W połączeniu z ostrzeżeniem, aby postępować na własne ryzyko może wystarczyć.

Dodawanie - Zobacz także Czy powinienem wyczyścić znaczniki HTML dla hostowanego CMS ' a? do dyskusji na temat dezynfekcji wejścia użytkownika

Możesz użyć kodu szesnastkowego, aby przekonwertować cały adres URL i wysłać go na serwer. W ten sposób klient nie zrozumiałby treści na pierwszy rzut oka. Po przeczytaniu zawartości możesz odszyfrować adres URL zawartości = ? i wysłać go do przeglądarki.

Zezwalanie na adres URL i zezwalanie na JavaScript to dwie różne rzeczy.