问标记和XSS

EN

请查看此链接：

http://michelf.com/weblog/2010/markdown-and-xss/

> hello <a name="n"
> href="javascript:alert('xss')">*you*</a>

化作

<blockquote>
 <p>hello <a name="n"
 href="javascript:alert('xss')"><em>you</em></a></p>
</blockquote>

∴​转换为HTML后，您必须对其进行净化。

你的建议有两个问题：

1. 我没有办法让你的用户能够格式化文章。例如，您利用Markdown提供了漂亮的编号列表。在提议的无标签-无例外的世界，我不知道最终用户将如何能够做这样的事情。
2. 要重要得多:当使用Markdown作为“原生”格式化语言时，以及白名单其他可用的标记时，您不仅限制了输入端，而且还限制了输出。换句话说，如果您的显示引擎期望Markdown，并且只允许白色内容删除，即使(上帝禁止)有人进入数据库并将一些恶意代码注入到一堆帖子中，实际站点及其用户也会受到保护，因为您在显示时也会对其进行消毒。

在web上有一些关于输出消毒的好资源：

• 净化用户数据:在何处以及如何进行
• 输出消毒 (我的客户之一，他将保持无名，其受影响的系统不是由我开发的)，被这个蠕虫击中了。当然，自那以后，我们就确保了这些系统的安全。
• BizTech:最佳实践:从未听说过XSS？

当然，删除/转义所有标记将使标记语言更加安全。然而，Markdown的全部意义在于它允许用户包括任意HTML标记以及它自己的标记形式(*)。当您允许HTML时，无论如何您必须清除/白名单输出，所以您最好在标记转换之后进行，以捕获所有内容。

*：这是一个我完全不同意的设计决定，而且我认为这个决定并没有被证明是有用的，但它是一个设计决定，而不是一个错误。

顺便说一句，步骤3应该是“输出到页面”；这通常发生在输出阶段，数据库包含原始提交的文本。