Преобразование HTML-кода (htmlspecialchars)
Межсайтовый скриптинг (XSS) является одним из наиболее распространенных уязвимостей в веб-приложениях. Однако защититься от этой атаки довольно просто — достаточно изменить символы <, > и &, которые непосредственно влияют на HTML-страницу. Если же нужно передать атрибуты тэгов, нужно экранировать кавычки: " и '.
В PHP это можно сделать с помощью функции htmlspecialchars, которая кодирует приведенные выше символы (для преобразования кавычек следует использовать атрибут ENT_QUOTES):
<?php
$text = htmlspecialchars('<a href="#">link</a>', ENT_QUOTES);
echo $text;
?>
Функция htmlspecialchars() преобразует < в < и > в >, двойная кавычка становится ", а одинарная '. Тем самым исключается возможность внедрения скриптов или ссылок на страницу, а также изменение структуры HTML-кода.
Следует отметить, что у страницы должна быть указана кодировка в Content-Type, иначе может использоваться другой набор символов, которые имеют другие значения (например, UTF-7).
Функция htmlentities идентичная функции htmlspecialchars, но она заменяет все возможные HTML-сущности. Она может быть использована со старыми кодировками, но с Unicode ее обычно не используют.
Переводы документов с иностранного языка на русский в основном требуются частным лицам. Это могут быть деловые документы, письма и прочие. Вы можете заказать перевод азербайджанского языка на русский в компании «Мастер Перевода». Выгодные цены и короткие сроки перевода вас непременно порадуют и вы придете туда вновь!
Автоматическое экранирование
Если защита от XSS настолько проста, то почему же межсайтовый скриптинг является такой распространимой уязвимостью? Причина в том, что программисты иногда забывают использовать функции экранирования символов. И так бывает на многих известных сайтах.
Конечно лучше было бы автоматизировать процесс экранирования HTML-кода. Большинство современных CMS предлагают автоматическое преобразование печатных данных. Например, в Smarty есть переменная $default_modifiers, в которую можно добавить фильтры для экранирования кода. Чистый PHP такой возможности не представляет.
Nette Latte фреймворк
Nette Latte — это шаблонизатор автоматического распознавания контекстного содержания:
- HTML-текст
- Атрибуты HTML-тэгов и их значения
- Теги <script> и <style> в CDATA
- HTML-комментарии
Данный фреймворк позволяет избежать многих проблем с обработкой большого и сложного кода:
<script type="text/javascript">
var userId = {$userId};
</script>
<p style="color: {$color};" title="{$title}">
<a href="" onclick="return !confirm({$message});">{$desc}</a>
</p>
<!-- Executed in: {$time} s -->
Выводы
Избежать XSS атак довольно просто, достаточно не забывать использовать htmlspecialchars(). Но если это сложно для вас, можете использовать системы автоматической фильтрация данных, например Nette Latte. Эти методы должны с большой вероятностью исключить возможности XSS.
