XssHtml – 基于白名单的富文本XSS过滤类

关于富文本XSS，我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法。之前我也总结了一些fliter的缺点，利用白名单机制完成了一个XSS Fliter类，希望能更大程度地避免富文本XSS的产生。

总结一下现存的一些XSS Fliter的缺点，可以归纳成以下几条：

    1.黑名单过滤一些标签，但没有考虑全面。比如<svg>、<object>、<input>等
    2.黑名单过滤一些属性，但没有考虑全面，比如onfocus、onfocusin等
    3.对伪协议考虑不全面，比如<a href=javascript:alert(1)>，有时候只是简单过滤script这种关键词，但总能用
      字符编码绕过
    4.过滤关键词时过于单纯，比如直接将script过滤为空，导致使用scrscriptipt就能绕过。再比如直接将字符实体转换
      为原字符，导致使用嵌套的字符实体来绕过。
    5.对IE的特性了解不深，比如expression，中间可以加\，IE7下可以加/**/来绕过。

而一般提供给一般用户使用的富文本编辑器，都是一些很常见功能，比如图片(表情)、超链接、加粗、加斜、字号、字体、颜色、分隔符等，所以我们完全可以用白名单的思想去写一个富文本过滤器，将编辑器中最常用到的一些功能做相应的过滤，其他标签、属性统统丢弃，来达到过滤XSS的效果。

所以我的XssHtml类设计思路是这样：首先用strip_tags清理掉白名单外、不规范的标签，然后用DOMDocument类加载这个HTML进DOM中。遍历DOM，删除白名单外的属性，并强制判断并给非法的href链接前面加入http://。

最后再将过滤完的DOM导出成HTML返回。

这样做有几个好处：

    1.整个类设计简单，只要创建好对象，调用一个方法即可得到过滤结果。
    2.白名单处理，能考虑到所有情况
    3.用PHP自带的DOMDocument类处理html，能有效处理一些不规则的内容。
    4.面向对象类设计，以后想增加其他标签，写针对性的代码可以直接调用之前写好的方法处理。

不过也有一些缺陷，就是过滤XSS不支持IE6及以下浏览器。因为IE6下奇葩特性太多了，会严重影响过滤器的效果与性能，所以我就没有考虑一些IE6的特性。

总的来说这应该是很多不了解安全的程序员的福音了。

代码：http://www.freebuf.com/sectool/37106.html

具体使用方法可以参阅：http://phith0n.github.io/XssHtml/ 这里有详细说明。

我还在自己主机上搭建了一个使用该类的一个test，希望有同学能找到BUG，完善过滤类。地址是 http://xsshtml.leavesongs.com/