PHP Lang
  1. PHP Lang
  3. Строгая проверка и фильтрация HTML в PHP
Intereting Posts
Я хочу добавить участников в группы Google по электронной почте Как сделать число не показано в научной форме? Знаки защиты от вторжений MySQL и уязвимостей с помощью PHP PHP-цикл через несколько массивов Доступ к константам класса из экземпляра, хранящегося в другом классе Эквивалент Python PHP MCRYPT_RIJNDAEL_256 CBC Pear Mail, как отправить plain / text + text / html в UTF-8 Как перебирать массив JSON с помощью вызова jQuery / AJAX из PHP? Как установить бюджет (максимальная цена звонка) в учетной записи Twilio cURL занимает слишком много времени, чтобы загрузить удалить все, кроме имени файла php Несколько внешних файлов JavaScript с использованием одного тега сценария Nginx и / или php5-fpm запоминают символическую корневую директорию is_uploaded_file () Задает файл изображения, когда он .bmp, почему? Является ли file_exist () в PHP очень дорогостоящей операцией?

Строгая проверка и фильтрация HTML в PHP

Я ищу лучшие практики для выполнения строгой (whitelist) проверки / фильтрации представленного пользователем HTML.

Основная цель – отфильтровать XSS и аналогичные nasties, которые могут быть введены через веб-формы. Вторичная цель – ограничить поломку содержимого HTML, введенного нетехническими пользователями, например, с помощью редактора WYSIWYG, который имеет вид HTML.

Я рассматриваю возможность использования HTML-очистителя , или сворачиваю свой собственный, используя парсер HTML DOM, чтобы пройти через такой процесс, как HTML (грязный) -> DOM (грязный) -> фильтр-> DOM (чистый) -> HTML (чистый).

Можете ли вы описать успехи этих или любых более простых стратегий, которые также эффективны? Любые подводные камни, на которые нужно следить?

Solutions Collecting From Web of "Строгая проверка и фильтрация HTML в PHP"

Я тестировал все эксплоиты, которые я знаю в HTML Purifier, и это было очень хорошо. Он фильтрует не только HTML, но также CSS и URL-адреса.

Как только вы сужаете элементы и атрибуты невинных, подводные камни находятся в содержимом атрибутов – javascript: псевдо-URL (IE позволяет использовать символы табуляции в имени протокола – java	script: все еще работает) и свойства CSS, которые запускают JS.

Анализ URL-адресов может быть сложным, например, они действительны: http://spoof.com:xxx@evil.com или //evil.com . Интернационализированные домены (IDN) могут быть записаны двумя способами: Unicode и punycode.

Пойдите с очистителем HTML – он имеет большинство из этих разработанных. Если вы просто хотите исправить неисправный HTML, используйте HTML Tidy (он доступен как расширение PHP).

Представленный пользователем HTML не всегда действителен или действительно завершен. Браузеры будут интерпретировать широкий диапазон недействительных HTML, и вы должны убедиться, что сможете их поймать.

Также имейте в виду действительный вид: 

 <img src="http://www.mysite.com/logout" />

а также 

 <a href="javascript:alert('xss hole');">click</a>

Я использовал HTML Purifier с успехом и не имел никакого xss или другого нежелательного входного фильтра. Я также запускаю sanitize HTML через расширение Tidy, чтобы убедиться, что он также проверяет.

W3C имеет большой открытый исходный пакет для проверки HTML, доступного здесь:

http://validator.w3.org/

Вы можете загрузить пакет для себя и, возможно, реализовать все, что они делают. К сожалению, кажется, что многие парнеры DOM, похоже, готовы сгибать правила, чтобы выделять код HTML «в дикой природе», так что это хорошая идея, чтобы мастера сообщили вам, что не так, и не оставляйте его более практичный инструмент – существует множество веб-сайтов, которые не являются идеальным, совместимым с HTML, но который мы все еще используем каждый день.