xss攻击很多场景下htmlspecialchars过滤未必能奏效。
场景1:
源码如下:
<?php$name = $_GET["name"];$name = htmlspecialchars($name);?><input type='text' value='<?php echo $name?>'>
htmlspecialchars默认配置是不过滤单引号的。只有设置了:quotestyle 选项为ENT_QUOTES才会过滤单引号,如果此时你的输出为
场景2:
仅仅用htmlspecialchars函数的地方错用了该函数导致的xss,源码如下:
<meta http-equiv=Content-Type content="text/html;charset=gbk"><script src="http://wooyun.org/js/jquery-1.4.2.min.js"></script><?php$name = $_GET["name"];echo "<script type='text/javascript'>$(document).ready(function(){$('#text').html(".htmlspecialchars($name).");})</script>";?>
此处调用了html()做输出,仅考虑单引号双引号以及尖括号显然已经不够了,还必须得考虑别的因素在里面,此时应该再使用json_encode()函数进行处理。即:
$('#text').html(".htmlspecialchars($name).");修改为$('#text').html(".json_encode(htmlspecialchars($name)).");
处理之后,里边的代码就不会被当成js执行。
场景3:客户端造成的htmlspecialchars失效:
Opera浏览器跨域字符集继承漏洞
此类漏洞已经不是单凭htmlspecialchars函数就能防御的了。
上面3个场景仅仅只是较为常见的,还有一些别的场景可能会导致htmlspecialchars失效。尤其是各种编码转换、富文本、进入数据库再取出数据库这些地方等等。
最后,建议题主结合实际场景,去进行不同的环境测试,最后得出是否能绕过的结论。:)