代码之家  ›  专栏  ›  技术社区  ›  fire

针对XSS攻击的URL的PHP filter\u var

xss php
  •  2
  • fire  · 技术社区  · 14 年前

    我的职责是: 

    function is_url($url) {
    return (preg_match('#^(https?):\/\/#i', $url) && (filter_var($url, FILTER_VALIDATE_URL) !== FALSE));
}

    下面是一个很好的url,它验证为true: 

    http://blah.com"onclick="alert(document.cookie)

    想象一下如果这进入 <a href="<?php echo $url; ?>">

    有没有更好的带有regex的URL验证器?或者我正在测试的URL实际上是一个有效的URL(在这种情况下,我需要一个XSS清理函数)?

    1 回复  |  直到 14 年前
        1
  •  3
  •   Artefacto    14 年前

    filter : 

    filter_var($url, FILTER_VALIDATE_URL);

    这会回来的 false 使用您的示例URL。如果它是有效的,它将返回 $url . 例子: 

    glopes@nebm:~$ php -r "var_dump(filter_var('http://blah.com\"onclick=\"alert(document.cookie)', FILTER_VALIDATE_URL));"
bool(false)

    htmlspecialchars . 因为它是一个属性,所以应该使用 ENT_QUOTES : 

    htmlspecialchars($data, ENT_QUOTES);

    javascript: -比如“url”。

    推荐文章
    Kevin Cheng  ·  在CKEditor 4的源代码模式下,如何禁用预览按钮?
    7 年前
    EZDM  ·  避免在上使用XSS。使用JQUERY获取JSON
    7 年前
    Agent Smith  ·  如何使用ZF2防止XSS?
    7 年前
    rmeertens  ·  XSS攻击:更改Spring Boot Crudepository中引发的异常?
    7 年前
    Nikolai  ·  php中的XSS黑名单
    8 年前
    Lamcee  ·  如何在img标签的onerror属性上发送http请求?
    8 年前
    pinkpanther  ·  仅仅对XSS进行编码(而不是转义)是错误的吗?
    8 年前
    5argon  ·  谷歌翻译网站如何在不受跨站点脚本约束的情况下修改网页?
    9 年前
    vivek  ·  我们所说的上下文自动转义是什么意思?
    9 年前
    user2143356  ·  这是否易受XSS攻击?
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号