关于php：如何对Web应用程序中的所有输出进行HTML编码？

How do I HTML Encode all the output in a web application?

我想防止Web应用程序中的XSS攻击。我发现HTML编码输出可以真正防止XSS攻击。现在的问题是，如何对应用程序中的每个输出进行HTML编码？我有办法自动化吗？

我感谢JSP，ASP.net和PHP的答案。

您不应该做的一件事就是对输入数据进行过滤。人们经常建议这样做，因为这是最简单的解决方案，但会带来问题。

输入数据除了可以输出为HTML之外，还可以发送到多个地方。例如，它可能存储在数据库中。筛选发送到数据库的数据的规则与筛选HTML输出的规则非常不同。如果对输入中的所有内容进行HTML编码，则最终将在数据库中使用HTML。 (这也是为什么PHP的"魔术引号"功能不是一个好主意的原因。)

您无法预期输入数据将行进的所有地点。安全的方法是在将数据发送到某处之前准备数据。如果要将其发送到数据库，请转义单引号。如果要输出HTML，请转义HTML实体。并将其发送到某个地方后，如果仍然需要处理数据，请使用原始的未转义版本。

这是更多的工作，但是您可以通过使用模板引擎或库来减少它。

您不想对所有HTML进行编码，而只想对输出的所有用户输入进行HTML编码。

对于PHP：htmlentities和htmlspecialchars

对于JSP，您也可以使用c：out标记来吃蛋糕，默认情况下，该标记会转义XML。这意味着您可以将属性绑定为原始元素：

1	<input name="someName.someProperty" value="<c:out value='${someName.someProperty}' />" />

当绑定到字符串时，someName.someProperty将包含XML输入，但是当输出到页面时，它将自动转义以提供XML实体。这对于页面验证链接特别有用。

我个人的喜好是对来自数据库，业务层或用户的任何内容进行认真编码。

在ASP.Net中，这是通过使用Server.HtmlEncode(string)完成的。

对任何内容进行编码的原因是，即使您可能认为是布尔值或数字的属性也可能包含恶意代码(例如，复选框值(如果操作不当)可能会返回为字符串。如果您之前未对其进行编码，将输出发送给用户，那么您就有一个漏洞)。

您可以将echo / print等包装在您自己的方法中，然后使用它们对输出进行转义。即代替

1	echo"blah";

采用

1	myecho('blah');

您甚至可以使用第二个参数，在需要时关闭转义。

在一个项目中，我们的输出函数具有调试模式，该模式使通过我们方法的所有输出文本均不可见。然后我们知道屏幕上剩下的所有内容都无法逃脱！跟踪那些顽皮的未转义位非常有用:)

我过去用来转义所有用户输入的一种好方法是编写一个修饰符，以便将所有传递给模板的变量转义。除了附加了| unscape的那些之外。这样，您就只允许HTML访问您显式授予的元素。

我没有那个修饰符了。但可以在这里找到相同的版本：

http://www.madcat.nl/martijn/archives/16-Using-smarty-to-prevent-HTML-injection..html

在新的Django 1.0版本中，它的工作方式与jay完全相同：)

OWASP有一个不错的API，可以对HTML输出进行编码，既可以用作HTML文本(例如段落或</wyn>内容)，也可以用作属性的值(例如拒绝表单后的<wyn><input></wyn>标签)： </p> <div class="codecolorer-container php dawn" style="overflow:auto;white-space:nowrap;width:100%;"><table cellspacing="0" cellpadding="0"><tbody><tr><td class="line-numbers"><div>1<br />2<br /></div></td><td><div class="php codecolorer">encodeForHTML<span class="br0">(</span><span class="re0">$input</span><span class="br0">)</span> <span class="co1">// Encode data for use in HTML using HTML entity encoding</span><br /> encodeForHTMLAttribute<span class="br0">(</span><span class="re0">$input</span><span class="br0">)</span> <span class="co1">// Encode data for use in HTML attributes.</span></div></td></tr></tbody></table></div> <p> 该项目(PHP版本)托管在http://code.google.com/p/owasp-esapi-php/下，并且还适用于其他一些语言，例如。净。 </p> <p> 请记住，您应该对所有内容(不仅是用户输入)进行编码，并应尽可能地进行编码(不是存储在DB中，而是输出HTTP响应时)。 </p> <hr> <p> 到目前为止，输出编码是最好的防御方法。验证输入的原因很多，但并非100％防御。如果数据库通过攻击(即ASPROX)被XSS感染，错误或恶意输入验证则不执行任何操作。输出编码仍将起作用。 </p> <hr> <p> 乔尔(Joel)撰写了一篇有关软件的好文章(使错误的代码看起来不正确，我想，我在手机上，否则我会给您提供URL)涵盖了正确使用匈牙利表示法。简短的版本是这样的： </p> <div class="codecolorer-container php dawn" style="overflow:auto;white-space:nowrap;width:100%;"><table cellspacing="0" cellpadding="0"><tbody><tr><td class="line-numbers"><div>1<br />2<br />3<br />4<br />5<br />6<br />7<br /></div></td><td><div class="php codecolorer"><span class="kw2">Var</span> dsFirstName<span class="sy0">,</span> uhsFirstName <span class="sy0">:</span> String<span class="sy0">;</span><br /> <br /> Begin<br /> <br /> uhsFirstName <span class="sy0">:=</span> request<span class="sy0">.</span>queryfields<span class="sy0">.</span>value<span class="br0">[</span><span class="st_h">'firstname'</span><span class="br0">]</span><span class="sy0">;</span><br /> <br /> dsFirstName <span class="sy0">:=</span> dsHtmlToDB<span class="br0">(</span>uhsFirstName<span class="br0">)</span><span class="sy0">;</span></div></td></tr></tbody></table></div> <p> 基本上为变量加上前缀，例如" us"表示不安全的字符串，" ds"表示数据库安全，" hs"表示HTML安全。您只想在实际需要的地方进行编码和解码，而不是所有内容。但是通过使用它们前缀可以推断出有用的含义，即查看代码后，如果出现问题，您会很快发现。无论如何，您将需要不同的编码/解码功能。 </p> <hr> <p> 真正保护自己免受此类攻击的唯一方法是严格筛选您接受的所有输入，特别是(尽管不是唯一地)来自应用程序公共区域的所有输入。我建议您看一下Daniel Morris的PHP过滤类(完整的解决方案)以及Zend_Filter包(可用于构建自己的过滤器的类的集合)。 </p> <p> 在Web开发方面，PHP是我选择的语言，因此对我的回答中的偏见表示歉意。 </p> <p> 基兰 </p> <hr> <p> 如果您确实对每个输出进行HTML编码，则用户将看到<html>的纯文本，而不是正常运行的Web应用程序。 </p> <p> 编辑：如果您对每个输入进行HTML编码，则在接受包含<等的外部密码时会遇到问题。 </p> <p><center> </center></p> <hr></div> <p><center> </center></p></td> </tr> </tbody> </table></article> <script> window.onload=function(){ var imgs = document.getElementsByTagName('img'); for(var i = 0;imgs[i];i++){ var thttp = imgs[i].getAttribute('src').indexOf("http"); var tok = imgs[i].getAttribute('src').indexOf("//"); if(thttp == -1 || tok == -1) {imgs[i].setAttribute('src', 'https://www.ezd.cc' + (imgs[i].getAttribute('src') || ''));} } } </script> <div class="entry-meta"> <div class="articleinfo-tag"><i class="iconfont icon-biaoqian"></i><a href="/tags/shuchu.html" title="输出" class="c1" target="_blank">输出</a><a href="/tags/yingyongchengxu.html" title="应用程序" class="c1" target="_blank">应用程序</a><a href="/tags/bianma.html" title="编码" class="c1" target="_blank">编码</a><a href="/tags/gongji.html" title="攻击" class="c1" target="_blank">攻击</a></div> </div> </div> <div class="relatebox"> <div class="relatebox-lists"> <h3>推荐阅读<span></span></h3> <div class="relatebox-articles"> <ul> <article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lc6n.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/74.webp" alt="电脑输出接音箱|电脑音箱接线" /></span></a></p> <div class="title"> <h2><a href="/zs/Lc6n.html" title="电脑输出接音箱|电脑音箱接线">电脑输出接音箱|电脑音箱接线</a></h2> </div> <p class="text-muted meta">电脑输出接音箱|电脑音箱接线，，电脑音箱接线把三根的视频线（黄、红、白）按颜色插入电视机的输入，黄色插DVD的视频输出，红白插DVD的左右声道，电</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lc3Y.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/56.webp" alt="笑笑看西卡电脑的片子|我想看卡西" /></span></a></p> <div class="title"> <h2><a href="/zs/Lc3Y.html" title="笑笑看西卡电脑的片子|我想看卡西">笑笑看西卡电脑的片子|我想看卡西</a></h2> </div> <p class="text-muted meta">笑笑看西卡电脑的片子|我想看卡西，，1. 我想看卡西个人喜欢的电影排名①肖申克的救赎理由：很多年前曾经看过一次，理解为男主复仇励志片。再次</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lckf.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/39.webp" alt="git设置编码|git语言设置" /></span></a></p> <div class="title"> <h2><a href="/zs/Lckf.html" title="git设置编码|git语言设置">git设置编码|git语言设置</a></h2> </div> <p class="text-muted meta">git设置编码|git语言设置，，git设置编码点击cap4j搜索从git直接链接上拉代码。git语言设置Git是一个开源的分布式版本控制系统，可以有效、高</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LccJ.html" class="thumbnail"><span><img class="thumb" src="https://www.ezd.cc/d/jc/2023030506/m05xy3v3qq048.webp" alt="如何在wps中的放上编号|我想把图片批量插入到WORD中,图片的文件名按编号排序,一张图片" /></span></a></p> <div class="title"> <h2><a href="/zs/LccJ.html" title="如何在wps中的放上编号|我想把图片批量插入到WORD中,图片的文件名按编号排序,一张图片">如何在wps中的放上编号|我想把图片批量插入</a></h2> </div> <p class="text-muted meta">如何在wps中的放上编号|我想把图片批量插入到WORD中,图片的文件名按编号排序,一张图片，WPS教程，1.我想把图片批量插入到WORD中,图片的文件</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lcb9.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/20.webp" alt="电脑开机提示wdkeydaemonwdcertm_ccb.exe应用程序错误" /></span></a></p> <div class="title"> <h2><a href="/zs/Lcb9.html" title="电脑开机提示wdkeydaemonwdcertm_ccb.exe应用程序错误">电脑开机提示wdkeydaemonwdcertm_ccb.exe应</a></h2> </div> <p class="text-muted meta">电脑开机提示wdkeydaemonwdcertm_ccb.exe应用程序错误，，每次你打开电脑，你会提示wdkeydaemon wdcertm_ccb.exe应用程序错误，这是因为你安装</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbW3.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/33.webp" alt="未知软件异常应用程序错误解决方案" /></span></a></p> <div class="title"> <h2><a href="/zs/LbW3.html" title="未知软件异常应用程序错误解决方案">未知软件异常应用程序错误解决方案</a></h2> </div> <p class="text-muted meta">未知软件异常应用程序错误解决方案，，我有很多朋友的电脑未知软件异常应用程序错误的问题，对于异常未知的软件异常中的应用一般提示（0xc00000</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbS.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/34.webp" alt="999元高性价比的四屏输出银河gtx550ti黑色会推荐视频卡" /></span></a></p> <div class="title"> <h2><a href="/zs/LbS.html" title="999元高性价比的四屏输出银河gtx550ti黑色会推荐视频卡">999元高性价比的四屏输出银河gtx550ti黑色</a></h2> </div> <p class="text-muted meta">999元高性价比的四屏输出银河gtx550ti黑色会推荐视频卡，，影驰 GTX 550 Ti 四星黑将显卡基于40nm制程GF116核心配备192个CUDA流处理器，支</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbH5.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/28.webp" alt="任务管理器如何打开任务管理器应用程序技巧" /></span></a></p> <div class="title"> <h2><a href="/zs/LbH5.html" title="任务管理器如何打开任务管理器应用程序技巧">任务管理器如何打开任务管理器应用程序技巧</a></h2> </div> <p class="text-muted meta">任务管理器如何打开任务管理器应用程序技巧，，任务管理器广泛应用于计算机维护中。通过使用任务管理器，我们不仅可以很容易地看到计算机CPU</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbHk.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/17.webp" alt="小米手机安装的应用程序包在哪里" /></span></a></p> <div class="title"> <h2><a href="/zs/LbHk.html" title="小米手机安装的应用程序包在哪里">小米手机安装的应用程序包在哪里</a></h2> </div> <p class="text-muted meta">小米手机安装的应用程序包在哪里，，问题：下载小米手机系统的安装文件在哪里答案uff1a 下载应用程序包位置：SD卡>下载。（摘自：小米手册：米</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbGR.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/79.webp" alt="aes接口的电脑|AES输出" /></span></a></p> <div class="title"> <h2><a href="/zs/LbGR.html" title="aes接口的电脑|AES输出">aes接口的电脑|AES输出</a></h2> </div> <p class="text-muted meta">aes接口的电脑|AES输出，，1. AES输出斯巴克cayinm-50cd 播放机是斯巴克公司最近设计的一款高档CD机，利用专业升频芯片处理软件,将声频提升</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/LbFF.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/70.webp" alt="麦博fc360怎么接电脑|麦博fc360低音无输出" /></span></a></p> <div class="title"> <h2><a href="/zs/LbFF.html" title="麦博fc360怎么接电脑|麦博fc360低音无输出">麦博fc360怎么接电脑|麦博fc360低音无输出</a></h2> </div> <p class="text-muted meta">麦博fc360怎么接电脑|麦博fc360低音无输出，，麦博fc360低音无输出重低音好的音箱推荐：麦博的M-200最便宜的低音炮，经典产品，销售量非常大的音</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lb9.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/39.webp" alt="设置应用程序快捷键|电脑应用设置快捷键" /></span></a></p> <div class="title"> <h2><a href="/zs/Lb9.html" title="设置应用程序快捷键|电脑应用设置快捷键">设置应用程序快捷键|电脑应用设置快捷键</a></h2> </div> <p class="text-muted meta">设置应用程序快捷键|电脑应用设置快捷键，，电脑应用设置快捷键1、首先，找到自己想要设置启动快捷键的软件的快捷方式或者启动程序文件；萊垍頭</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lb7P.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/49.webp" alt="应用程序对象" /></span></a></p> <div class="title"> <h2><a href="/zs/Lb7P.html" title="应用程序对象">应用程序对象</a></h2> </div> <p class="text-muted meta">应用程序对象，，应用程序对象是一个应用程序级对象，用于在所有用户之间共享信息，并且在Web应用程序运行期间可以保存数据。应用的性质：方法</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lb6r.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/21.webp" alt="送钱！微软将支付每个新应用程序100美元。" /></span></a></p> <div class="title"> <h2><a href="/zs/Lb6r.html" title="送钱！微软将支付每个新应用程序100美元。">送钱！微软将支付每个新应用程序100美元。</a></h2> </div> <p class="text-muted meta">送钱！微软将支付每个新应用程序100美元。，，3月20日最新的百事网获悉的消息，据国外媒体报道，众所周知，微软希望尽可能鼓励开发者为Windows 8和W</p> </article><article class="excerpt excerpt-one"> <p class="focuss"><a href="/zs/Lb42.html" class="thumbnail"><span><img class="thumb" src="https://www.gonglue1.com/static/img/no/60.webp" alt="电脑电源输出24|电脑电源输出220v1.5A干什么用的" /></span></a></p> <div class="title"> <h2><a href="/zs/Lb42.html" title="电脑电源输出24|电脑电源输出220v1.5A干什么用的">电脑电源输出24|电脑电源输出220v1.5A干什</a></h2> </div> <p class="text-muted meta">电脑电源输出24|电脑电源输出220v1.5A干什么用的，，电脑电源输出220v1.5A干什么用的呵呵很简单额定电压乘以额定电流＝额定功率 220v*1.2A＝2</p> </article></ul> </div> </div> </div> </div> </div> <footer class="footer"> <p>Copyright © 2023 易知道 ezd.cc All Rights Reserved</p> <p><a href="https://beian.miit.gov.cn/">京ICP备19020253号-3</a></p> </footer> </body> </html>