php - Markdown(带有 strip_tags)是否足以阻止 XSS 攻击？

Question

我正在开发一个 Web 应用程序，它允许用户键入目录中项目的简短描述。我允许在我的文本区域中使用 Markdown，以便用户可以进行一些 HTML 格式化。

我的文本清理功能在将任何输入的文本插入数据库之前去除所有标签:

public function sanitizeText($string, $allowedTags = "") {
    $string = strip_tags($string, $allowedTags);

    if(get_magic_quotes_gpc()) {
        return mysql_real_escape_string(stripslashes($string));
    } else {
        return mysql_real_escape_string($string);
    }
}

基本上，我在数据库中存储的所有内容都是 Markdown——不允许其他 HTML，甚至“基本 HTML”(如此处的 SO)也是允许的。

允许 Markdown 会带来任何安全威胁吗？即使 markdown 没有标签，它也可以被 XSS 攻击吗？

Answer 1

我认为从输入中剥离任何 HTML 标签会给你一些非常安全的东西——除非有人找到一种方法将一些非常困惑的数据注入(inject) Markdown，让它生成一些更困惑的输出 ^^

不过，我想到了两件事:

第一个: strip_tags 不是奇迹功能:它有一些缺陷......
例如，在这种情况下，它会删除 '<' 之后的所有内容:

$str = "10 appels is <than 12 apples";
var_dump(strip_tags($str));

我得到的输出是:

string '10 appels is ' (length=13)

这对您的用户来说不是那么好 :-(

第二个:有一天，您可能想要允许一些 HTML 标签/属性；或者，即使在今天，您可能也想确保 Markdown 不会生成一些 HTML 标签/属性。

您可能会对类似 HTMLPurifier 的内容感兴趣: 它允许您指定应保留哪些标签和属性，并过滤字符串，以便只保留那些标签和属性。

它还会生成有效的 HTML 代码——这总是很好;-)