防止HTML注入攻击需三措并举:一、服务端对用户输入进行HTML实体编码,如PHP用htmlspecialchars、Java用StringEscapeUtils.escapeHtml4;二、配置CSP响应头限制资源加载与脚本执行;三、富文本场景采用白名单过滤,使用JSoup、bleach或sanitize-html等库仅允许可信标签与属性。
如果用户输入的内容未经处理直接嵌入到HTML页面中,攻击者可能通过提交恶意HTML或JavaScript代码实现注入攻击。以下是防止HTML代码注入攻击的安全措施:
一、对用户输入进行HTML实体编码
将用户提交的特殊字符(如、&、"、')转换为对应的HTML实体,使浏览器将其视为纯文本而非可执行代码,从而阻止标签解析和脚本执行。
1、在服务端接收用户输入后,调用内置编码函数。例如PHP中使用htmlspecialchars($input, ENT_QUOTES, 'UTF-8')。
2、在Java中使用Apache Commons Text库的StringEscapeUtils.escapeHtml4(input)方法。
立即学习“前端免费学习笔记(深入)”;
3、在Node.js中引入he库,调用he.escape(input)进行转义。
4、在Python中使用html.escape(input, quote=True)处理字符串。
二、使用内容安全策略(CSP)限制执行上下文
CSP通过HTTP响应头定义允许加载和执行的资源范围,能有效缓解XSS造成的HTML注入危害,即使恶意代码被误插入,也无法执行脚本或加载外部危险资源。
1、在Web服务器配置中添加Content-Security-Policy响应头。
2、设置default-src 'self'限制所有资源仅从同源加载。
3、显式禁止内联脚本,添加script-src 'self'并移除'unsafe-inline'和'unsafe-eval'。
4、对富文本场景需谨慎启用script-src 'nonce-随机生成的一次性值',并在对应标签中添加匹配的nonce属性。
三、采用白名单机制过滤HTML标签
当业务必须保留部分HTML格式(如富文本编辑器输出)时,不能依赖黑名单过滤,而应仅允许明确列出的安全标签与属性,彻底排除、、onerror等高危元素和事件处理器。
1、使用成熟的HTML净化库,如Java中的JSoup(配置Whitelist.relaxed().addTags("b", "i", "u", "p", "br"))。
系统功能强大、操作便捷并具有高度延续开发的内容与知识管理系统,并可集合系统强大的新闻、产品、下载、人才、留言、搜索引擎优化、等功能模块,为企业部门提供一个简单、易用、开放、可扩展的企业信息门户平台或电子商务运行平台。开发人员为脆弱页面专门设计了防刷新系统,自动阻止恶意访问和攻击;安全检查应用于每一处代码中,每个提交到系统查询语句中的变量都经过过滤,可自动屏蔽恶意攻击代码,从而全面防止SQL注入攻击
2、在Python中使用bleach.clean(input, tags=['p', 'br', 'strong'], attributes={}, strip=True)。
3、在Node.js中使用sanitize-html库,传入allowedTags: ['p', 'em', 'strong']和allowedAttributes: {}。
4、对URL类属性(如href)额外校验协议,强制限定为http://、https://或/开头,拒绝javascript:或
伪协议。或四、在客户端渲染前进行二次转义
前端框架(如React、Vue)虽默认对插值内容做转义,但若使用
v-html
dangerouslySetInnerHTML等机制直接渲染用户数据,则必须在传入前确保已由服务端完成净化;若需前端自行处理,须再次执行HTML实体编码以规避服务端遗漏风险。
1、在React中避免使用dangerouslySetInnerHTML,优先采用JSX结构化渲染。
2、若必须动态插入HTML,先调用DOMPurify.sanitize(dirtyHtml)净化后再赋值给innerHTML。
3、在原生JavaScript中,不直接拼接element.innerHTML = userInput,改用element.textContent = userInput确保纯文本显示。
4、对从API获取的字段,在渲染前检查是否包含、javascript:等特征字符串,发现即丢弃或标记异常。
五、设置HttpOnly与Secure Cookie标志
HTML注入常配合窃取Cookie实施会话劫持,通过为敏感Cookie添加HttpOnly标志可阻止JavaScript访问document.cookie,结合Secure标志确保仅通过HTTPS传输,大幅降低凭证泄露后果。
1、在服务端设置Session Cookie时,显式指定HttpOnly=true和Secure=true。
2、在Nginx中通过add_header Set-Cookie "SESSIONID=xxx; Path=/; HttpOnly; Secure; SameSite=Strict";注入头信息。
3、在Express中使用res.cookie('token', value, { httpOnly: true, secure: true, sameSite: 'strict' })。
4、验证响应头中Set-Cookie字段是否实际包含HttpOnly和Secure标识,缺少任一标志均视为配置失效。
