防范xss攻击的核心在于对用户输入进行过滤和对输出内容进行html实体转义。具体做法包括:1. 输入过滤作为辅助手段,可限制长度、使用白名单校验、拦截危险字符;2. 输出时必须进行html转义,不同语言有相应处理库如php的htmlspecialchars()、python的escape()、javascript的dom操作、java的stringescapeutils;3. 对富文本内容使用html净化库如sanitize-html、html purifier、bleach,并设置标签白名单,禁止危险属性;4. 不信任任何用户输入,包括表单、url参数、cookie等;5. 转义应在拼接html时进行,而非存储时;6. 注意框架中可能绕过转义的操作如vue的v-html、react的dangerouslysetinnerhtml;7. 定期使用owasp zap或burp suite测试网站安全性。
防范XSS攻击的关键在于对用户输入的内容进行合理过滤和转义。XSS(跨站脚本攻击)之所以常见,是因为很多网站允许用户提交内容,比如评论、留言、昵称等,而这些内容如果没有经过处理就直接显示在页面上,就可能被恶意利用。
要有效防范,核心做法就是:所有用户输入都要做处理,所有输出到HTML的内容都要转义。接下来从几个实际场景出发,讲讲怎么操作更安全。
输入过滤:不是万能,但不能没有
很多人觉得只要限制用户输入的格式,就能防住XSS。其实这种方法不能完全依赖,但确实可以作为第一道防线。
立即学习“前端免费学习笔记(深入)”;
- 限制输入长度:比如昵称不超过20个字符,密码必须符合一定复杂度。
- 白名单校验字段:邮箱、网址、电话号码等可以用正则表达式做基本校验。
-
拒绝明显危险字符:比如
、javascript:这类关键词,可以在接收阶段直接拦截。
不过要注意,输入过滤只是辅助手段,真正关键的是输出时的处理。因为有些看似“合法”的内容,也可能被组合成攻击代码。
输出转义:真正的核心防线
无论输入内容是否做过滤,只要它会被展示在网页中,就必须进行HTML实体转义。简单来说,就是把特殊字符转换成浏览器不会执行的形式。
比如:
变成zuojiankuohaophpcn-
>变成youjiankuohaophpcn -
"变成" -
&变成&
这样即使用户输入了 ,也会被浏览器当作普通文本显示,而不是执行这段脚本。
不同语言都有现成的库来处理这个事情:
- PHP:
htmlspecialchars() - Python:
escape()(Jinja模板自动转义) - JavaScript:手动替换或使用DOM操作避免innerHTML
- Java:Apache Commons Text的
StringEscapeUtils.escapeHtml4()
如果你用的是现代前端框架,比如React、Vue,默认是不执行动态内容的,也属于一种保护机制。
富文本内容怎么办?需要特别小心
有时候你确实需要让用户发布富文本内容,比如博客文章、带格式的评论。这时候不能简单地全部转义,否则格式就被破坏了。
这种情况下,应该:
- 使用专门的HTML净化库,例如:
- Node.js:
sanitize-html - PHP:
HTML Purifier - Python:
bleach
- Node.js:
- 设置标签白名单,只允许安全标签如
,,onload,onclick) - 图片标签中的
src属性要做额外检查,防止javascript:协议注入
一句话:富文本不是不能处理,而是要精细控制可接受的HTML结构和属性。
基本原则记清楚,别掉坑里
最后再强调几个容易忽视的点:
- 不要信任任何来自用户的输入,包括表单、URL参数、Cookie、HTTP头等。
- 转义时机很重要:是在拼接HTML的时候,而不是存储的时候。
- 框架默认有转义机制,但也有可能被绕过(比如在Vue中用了
v-html,React中用了dangerouslySetInnerHTML),这时候尤其要小心。 - 定期测试自己的网站,模拟XSS攻击看能否成功,工具推荐 OWASP ZAP 或 Burp Suite。
基本上就这些。防范XSS听起来复杂,其实只要在每个数据输出的地方都加上一层转义,大多数问题都能避免。
