《计算机网络安全防护技术（第二版）》 课件 第7章 任务7.1.7 通过HTML转义避免XSS.pptx

第7章Web安全技术;任务7.1.7通过HTML转义避免XSS漏洞;formstyle=top:5px;left:5px;position:absolute;z-index:99;

background-color:white

action=/04.phpmethod=POST

用户登录页面br

用户名inputsize=22name=aabr

密nbsp;nbsp;nbsp;码inputtype=password

name=userpasssize=22br

inputtype=hiddenname=bbvalue=?php

echo$_SERVER[REMOTE_ADDR]?

inputtype=submitvalue=提交brbrbr

/form;这个新表单诱导用户输入自己在的用户名及密码，一旦用户输入并提交，攻击者的后续处理代码会将这些信息通过电子邮件的方式提交给黑客。

而7.1.6小节案例的回显值value=?phpecho@$_POST[aa];?，没有双引号括住，攻击者通过输入参数的前半部分：1/form，就将原始表单闭合了，参数的后半部分同样是攻击者自定义的一个新表单，表单内容与7.1.5小节的基本一致，作用也是诱导用户输入用户名及密码，然后提交给黑客。

HTML既允许回显的属性值用双引号引起来，也允许不用双引号引起来。对于用双引号引起来的属性值，攻击者可以通过输入双引号本身及特殊字符，如“/form”，来将原始表单闭合；对于不用双引号引起来的的属性值，攻击者可以通过输入数字和特殊字符，如“1/form”，来将原始表单闭合。;避免此漏洞的方法是对一些在HTML中有特殊含义的字符，比如双引号和尖括号，进行html转义处理，因转义要用到符号，因此，符号也要进行转义。转义函数是：htmlspecialchars()。对@$_POST[aa]进行html转义的语句是：htmlspecialchars(@$_POST[aa],ENT_QUOTES,UTF-8)，下面通过实例说明。

一、网站www.site1com的网页07.php内容如下：

?php

$ip=$_SERVER[REMOTE_ADDR];

?

formaction=08.phpmethod=post

h3请输入您的姓名：/h3

inputtype=textsize=70name=aabr

inputtype=hiddenname=bbvalue=?phpecho$ip?

inputtype=submitvalue=提交

/form;如图7-1-56所示，网页要求用户输入姓名。同时，会记录下用户电脑的IP地址。;二、网站的网页08.php内容如下：

head

metahttp-equiv=Content-Typecontent=text/html;charset=utf-8/

/head

请确认您的信息:

formaction=08-2.phpmethod=post姓名inputsize=70name=aavalue=?phpechohtmlspecialchars(@$_POST[aa],ENT_QUOTES,UTF-8);?br

IP地址inputsize=20name=bbvalue=?phpecho@$_POST[bb];?br

inputtype=submitvalue=提交

/form;如图7-1-57所示，网页08.php的作用是回显用户姓名及用户的IP地址。为避免前面提及的漏洞，网页在回显时用户名前，先对用户名进行了html转义处理，使用的语句是：

htmlspecialchars(@$_POST[aa],ENT_QUOTES,UTF-8)。;三、网站www.site1com的网页08-2.php内容如下：

head

metahttp-equiv=Content-Typecontent=text/html;charset=utf-8/

/head

欢迎您！来自?phpecho@$_POST[bb];?的?phpechohtmlspecialchars(@$_POST[aa],ENT_QUOTES,UTF-8);?！！！

如图7-1-58所示，08-2.php的作用是根据上一页面提交的用户姓名及用户的IP地址，显示欢迎信息。;四、测试网页的漏洞是否还存在。

如图7-1-59所示，在的07.php页面输入框中，输入：

/formscriptwindow.location=/script

点击“提交”按钮后，结果如图7-1-60所示。

可见，经