富文本编辑器的跨站脚本问题

富文本编辑器是一个开放式的HTML内容编辑环境，必须实现文字样式、链接、图片等功能的HTML，所以用户 POST的内容必须含有HTML标签，但是任由用户输入各类HTML标签，会造成一些潜在的恶意脚本攻击，借这类情况正好分析出现XSS的情况，主要针对 IE浏览器.

一.首先是微软建议我们可能造成恶意脚本攻击的标签.

类似如下的

tag:

applet
base
basefont
bgsound
blink
body
embed
frame
frameset
head
html
ilayer
iframe
layer
link
meta
object
style
title
script

-----------------------------------
类似这类

<tag

必须删除.

二.针对HTML属性值的协议攻击.

tag:

dynsrc=
href=
lowsrc=
src=
background=
value=
action=
bgsound=

黑客可能利用如下协议：

脚本伪协议

vbscript:
javascript:

文件类协议

ms-its:
mhtml:
data:

第三方协议

firefoxurl:
mocha:
livescript:

---------------------------------
类似这类

<xxx tag=xxx:

如：

以下是引用片段： <IMG LOWSRC="javascript:alert('XSS')">

必须判断属性的用的啥协议，给个http:就好了.

三.针对普通HTML属性值的编码，黑客可利用HTML特性将属性值做编码绕过过滤.

&# 加 ASCII格式

以下是引用片段： <IMG SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;> <IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041> <IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

类似这类

<xxx tag=&#

必须判断属性的值&转换成 &amp;

[1] [2] 下一页