如何防范编码 URL XSS 攻击

Question

我有以下两个问题：

1）如何防范此类XSS攻击？

https://www.example.com/index.php?&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041

如果假设由于某种原因，查询参数嵌入到图像加载事件中，那么它会是这样的

<img src=x onload="&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041">

//And browser treats as
<img src=x onload="javascript:alert('XSS')">

我已经在使用 PHP 的 htmlspecialchars() 和 Filtar_var() 和 URL Sanitization，但是这种编码的 XSS 很容易通过这些函数

我们如何防御这种 Encoded XSS 或中和任何此类攻击？

2) XSS 攻击是否需要嵌入到 HTML 页面、Javascript 或 CSS 等中才能被触发？或者有一种不需要嵌入 XSS 的方法？

Answer 1

当您将用户输入插入 HTML 文档时，htmlspecialchars 可以很好地防御 XSS。

它会阻止用户输入中的任何 HTML 语法脱离您打算去的地方并被视为 JavaScript。

您的问题与攻击已编码这一事实无关。问题是正在将用户输入放在预期 JavaScript 的位置（和 onload 属性），因此它已经被视为 JavaScript。

json_encode 是这里的通常 解决方案（然后 htmlspecialchars 因为 JavaScript 在 HTML 属性中）。

但是，这仅在您接受用户输入并将其放入脚本以用作数据时才有效。在这里，您似乎正在接受用户输入并将整个事情视为一个 JavaScript 函数。

如果您这样做，那么您将容易受到 XSS 的攻击。您可以通过实施针对 CSRF 的防御措施在一定程度上缓解这种情况，但您几乎可以肯定一开始就不应该这样做。