XSS：REQUEST_URI 通过 htmlspecialchars() 运行 - 然后用 & 替换 & - 足以防止 XSS 注入？

Question

场景：

我想用" ' < > 替换：" ' < > 但保留“&”字符。

我正在处理的字符串是一个 URL，我希望 URL 参数由 & 分隔，而不是 &。

示例解决方案：

$url = "/some/path?a=123&b=456"; // from $_SERVER["REQUEST_URI"]; 
$url = htmlspecialchars($url, ENT_QUOTES, 'ISO-8859-1', true); 
$url = str_replace('&','&',$url);

问题：

如果我在我的页面上使用$url（例如，在 HTML 或 JavaScript 中使用echo $url;），这会被 XSS 利用吗？

类似问题：

还有其他关于 SO 的帖子 XSS & htmlspecialchars() 但我不能 围绕“&”是否找到答案 字符（以及它可能的 htmlentities allow) 可以将您暴露给 XSS。

• Is replacing : < and > with &lt; and &gt; enough to prevent XSS injection?

• is htmlspecialchars() in PHP or h() in Ruby on Rails good enough for defending all cases of XSS (Cross-site scripting) attacks?

Answer 1

我曾经使用非常奇怪的代码来转义 url，但我敢打赌这可以做得更好，而且这还没有涵盖 html 特殊字符，它只是用于将 url 保存到数据库中。

function escapeUrl(&$url){
 $matches = parse_url($url);
    if(!isset($matches["host"])){
        Utils_Logging_Logger::getLogger()->log(
            "Unknown host for URL: \"$url\".",
            Utils_Logging_Logger::TYPE_ERROR
       );
       $matches["host"] = "";
    }
    if(!isset($matches["scheme"])){
        Utils_Logging_Logger::getLogger()->log(
            "Sheme (like http://) for URL: \"$url\" was not set.",
            Utils_Logging_Logger::TYPE_LOG);
        $url = "http://";
    }else{$url = $matches["scheme"]."://";}
    $url.=$matches["host"];
    if(isset($matches["path"])){
        $path = rawurldecode($matches["path"]);
        $url.=$path;   
    }
    if(isset($matches["query"])){
        $query = rawurldecode($matches["query"]);
        $url.="?".$query;
    }
    return $url;

}

Answer 2

Sijmen Ruwhof 提出了这个我认为相关的有趣观点：

http://www.php.net/manual/en/function.htmlentities.php#99896

“ENT_QUOTES”选项不 保护您免受 javascript 的侵害 某些标签的评估 属性，例如“href”属性 的'a'标签。当点击 下面的链接，给定的 JavaScript 将 被执行：

<?php
$_GET['a'] = 'javascript:alert(document.cookie)';
$href = htmlEntities($_GET['a'], ENT_QUOTES);
print "<a href='$href'>link</a>"; # results in: <a href='javascript:alert(document.cookie)'>link</a>
?>