产品 解决方案 安全专区 定价 WeTest生态支持与服务关于WeTest
产品 解决方案 安全专区 定价 WeTest生态 支持与服务 关于WeTest
腾讯WeTest/专栏文章/XSS注入我也不怕不怕啦——PHP从框架层面屏蔽XSS的思考和实践/

XSS注入我也不怕不怕啦——PHP从框架层面屏蔽XSS的思考和实践

开发测试干货 2016-05-05 14:38 49079
XSS注入是一件非常头疼的事情。就算是web开发多年的老手,也不敢保证自己写的代码完全没有XSS注入的风险。

对于新接触web开发的同学来说,XSS注入是一件非常头疼的事情。就算是web开发多年的老手,也不敢保证自己写的代码完全没有XSS注入的风险。

因为现在比较主流的XSS防治手段主要有两种,一种是在用户输入是将异常关键词过滤,另一种则是在页面渲染时将html内容实体化转义。

然而第一种方法一定程度上对业务数据要求相对较高,存在屏蔽数据和业务数据有冲突的情况,例如“程序类帮助文档的编辑保存”,“外站帖子爬虫”等等。都不能无差别将异常关键词过滤掉,必须保持原输入内容的完整性。

而另一种html内容实体化的方式,又非常的依赖开发的编程习惯。一个不小心漏写了就是一个安全工单,做web的前端同事应该深有体会。于是,我开始研究能不能不再依赖开发习惯,从框架层面上完全屏蔽XSS。

这里先介绍一下我的PHP web Server框架,是我自己从从事web开发开始就一直在维护更新的框架,链接在此,有兴趣的同学,可以看下。或者提出更多改进的建议。

首先来看下普通的PHP是怎么转义html实体的:

htmlspecialchars($content, ENT_QUOTES | ENT_SUBSTITUTE)

 ENT_QUOTES 意思是需要转义双引号(")和 单引号 (')

 ENT_SUBSTITUTE 意思是 把无效的编码替代成一个指定的带有 Unicode 替代字符 

首先很容易想到的是把php模版中的字符串全部替换掉。

而熟悉smarty的同学应该知道,其实smarty的模版渲染也是用了转义字符串的方式。那我们渲染页面的代码可以这么写。

/**
     * 获得模板渲染后的内容
     * @return string
     */
    public function getContent()
    {
        //防XSS注入
        foreach ($this->params as &$param) {
            $param = is_string($param) ? htmlspecialchars($param, ENT_QUOTES | ENT_SUBSTITUTE) : $param;
        }
        unset($param);

        extract($this->params);
        ob_start();
        //include template
        $file = sprintf('%s/template/%s.tpl.php', TXApp::$app_root, $this->view);
        include $file;
        $content = ob_get_clean();
        return $content;
    }

 这样的话,传入的字符串类型的变量都会被替换掉了。但是问题也很明显。那就是如果是数组或者object对象,里面的内容就无法进行转义了。而这同样也是smarty的一个弊端,smarty是在assign方法里进行的实体化转义,如果是数组或者object就无视了。当然我们还需要更进一步的进行转义处理。

有同学看到这里肯定会有个想法,如果是数组的话,递归进行转义处理不就可以了吗。

事实上我一开始的确是这么做的,但是弊端也很明显。递归的层数越多,性能损耗就越大。而且并非所有进行转义的内容我们都会用到,这样就会造成性能的浪费。最优化的处理方式就是当需要用到的时候再做转义处理,没用到的时候该咋样还是咋样。

于是我开始着手自己写一个类,在我的框架里我命名为TXArray 继承了ArrayObject,也就是让其具备了array的部分性质。接下来开始进行array 方法重构。以下是部分代码

class TXArray extends ArrayObject
{
    private $storage = [];
    private $encodes = [];

    public function __construct($storage=array())
    {
        $this->storage = $storage;
    }

    public function getIterator()
    {
        foreach ($this->storage as $key => $value){
            $key = $this->encode($key);
            if (!isset($this->encodes[$key])){
                $this->encodes[$key] = $this->encode($value);
            }
        }
        return new ArrayIterator($this->encodes);
    }

    public function offsetGet($k)
    {
        if (isset($this->storage[$k])){
            $key = $this->encode($k);
            if (!isset($this->encodes[$key])){
                $this->encodes[$key] = $this->encode($this->storage[$k]);
            }
            return $this->encodes[$key];
        }
        return null;
    }

    public function offsetExists($k)
    {
        return isset($this->storage[$k]);
    }

    public function offsetUnset($k)
    {        
        unset($this->storage[$k]);
        $k = $this->encode($k);
        unset($this->encodes[$k]);
    }

    public function offsetSet($k, $value)
    {
        $this->storage[$k] = $value;
        $this->encodes[$k] = $this->encode($value);
    }

    public function count()
    {
        return count($this->storage);
    }

    private function encode($value)
    {
        if (is_string($value)){
            $value = is_string($value) ? htmlspecialchars($value, ENT_QUOTES | ENT_SUBSTITUTE) : $value
        } elseif (is_array($value)){
            $value = new self($value);
        }
        return $value;
    }
}

 offsetGet 会在$array[$key] 时候被调用。getIterator() 方法则是在 foreach循环时被调用。当发现内部参数是个array时,会再次递归调用自己,重复上述步骤。效果如下图所示:

这样一个递归的转义模型就写好了。也实现了用到时才转义的目标。

但是还有个问题。并不是所有字段都需要转义的,例如我们平台的舆情监控数据,数据来源主要是各大贴吧论坛,数据本身包含了图片img,字体颜色等html元素。在展示时并不希望被模版转义。所以我在框架上继续优化。添加了PHP的魔法方法__get()

    public function __get($k)
    {
        return isset($this->storage[$k]) ? $this->storage[$k] : null;
    }

    public function get($key)
    {
        return $this->__get($key);
    }

 也就是说只要调用$array->key 或者 $array->get(0) 就可以直接获取原来的数据而不进行转义了。

另外看业务也再需要加上一些对array的处理方法,例如array_key_exists,in_array, join等。或者直接使用__call() 魔法方法

    public function __call($method, $args)
    {
        $args[] = &$this->storage;
        return call_user_func_array($method, $args);
    }

    public function serialize()
    {
        return serialize($this->storage);
    }

    public function __invoke()
    {
        return $this->storage ? true : false;
    }

    public function keys()
    {
        return array_keys($this->values(false));
    }

然后我们在页面模版里就可以愉快的使用了

 

技术干货 项目开发 PHP框架
最新文章
1客户案例研究:专家兼容性测试,助力打造银行精品应用 通过采用WeTest兼容测试方案,该大型银行节省了近60%的设备采购和维保费用,且节省了大量测试人力。
2客户案例研究:专家安全扫描,守护金融银行小程序安全和私密性 WeTest私有化部署的定制扫描平台让金融银行客户能无成本接入扫描系统并迅速上手使用。客户能方便快捷地根据定制手册进行自助扫描,根据生成的扫描报告,详细洞察漏洞,快速识别并准确定位问题根源。
3客户案例研究:专家渗透测试,洞察电子商务小程序重大交易漏洞 通过WeTest渗透测试服务,某知名零售公司旗下的在线购物类小程序中发现了8处安全风险,我们的安全专家为客户提供了详细的漏洞报告,提供了较为清晰完整的安全加固方案。在回归测试中,中危以上风险均被解决。
4自查小程序4大安全隐患!文末免费赠送小程序安全扫描专业版! 腾讯WeTest现面向小程序开发者开放免费申请使用小程序安全扫描专业版,助您提前发现全面的安全漏洞。扫描文中问卷二维码或点击问卷链接,即可报名参与免费领取活动。
5浅谈渗透测试服务在泛互行业带来的价值 在泛互联网行业中,渗透测试服务对于保障企业的网络安全至关重要。

商务咨询

咨询热线:

400-058-5896

关注WeTest

  • wetest-qrcode

    微信公众号

  • wetest-qrcode-video

    微信视频号

  • wetest-qrcode

    微信小程序

WeTest
了解WeTest 精选客户案例
热门产品
云手机 小程序安全 QAPM
解决方案
专有云解决方案 专家压测解决方案 小程序质量服务平台 智慧零售解决方案 金融解决方案 游戏解决方案 智慧出行解决方案
管理与服务
账户管理 项目管理 控制台 帮助文档
Copyright © 1998 - 2024 Tencent. All Rights Reserved 腾讯公司 版权所有 粤公网安备44030002000001号
购买
客服
反馈