cùng sở hữu nhu cầu viết những ứng dụng ngày càng mở rộng chức năng cho người dùng, thì các chức năng cho phép thành viên post nội dung là 1 thao tác tất yếu. Tuy nhiên, cho phép thành viên gởi nội dung sẽ làm cho phát sinh số đông nguy cơ đe dọa tới sự an toàn của website, trong đó với một mối đe dọa siêu phổ biến đấy là tấn công Cross-Site Scripting (XSS).
>>> Xem thêm: Thiet ke website theo yeu cau
nói sơ qua về tấn công XSS. XSS hiện tồn tại 2 hình thức là Stored XSS và Reflected XSS. Stored XSS là hình thức tấn công mà ở ấy cho phép kẻ tấn công có thể chèn một đoạn script nguy hiểm (thường là Javascript) vào website của chúng ta thông qua một chức năng nào đó (vd: viết lời bình, guestbook, gởi bài..), để từ ấy khi những thành viên khác truy cập website sẽ bị dính mã độc từ kẻ tấn công này, các mã độc này thường được lưu lại trong database của website chúng ta nên gọi là Stored. Stored XSS phát sinh do chúng ta ko lọc dữ liệu do thành viên gởi lên 1 phương pháp đúng đắn, khiến mã độc được lưu vào Database của website.
Hình thức thứ 2 là Reflected XSS. Trong hình thức này, kẻ tấn công thường gắn thêm đoạn mã độc vào URL của website chúng ta và gởi tới nạn nhân, trường hợp nạn nhân truy cập URL ấy thì sẽ bị dính mã độc. Điều này xảy ra do ta không để ý filter input từ URL của website mình.
Tấn công XSS là tấn công nguy hiểm, cho phép kẻ tấn công ăn cắp thông tin trên máy nạn nhân thông qua javascript như ăn cắp cookie, chèn mã độc để chiến quyền điều khiển…
—————————————–
Như vậy, để phòng chống tốt nhất XSS là theo nguyên tắc FIEO (Filter Input, Escape Output). Để khiến cho việc này thì bây giờ với tương đối rộng rãi bộ lọc để chúng ta lựa tậu. Hôm nay mình giới thiệu đến quý khách một bộ thư viện viết bằng PHP cho phép filter HTML để ngăn chặn kẻ xấu post mã độc XSS thông qua website của bạn, đấy là HTML Purifier.
nhắc sơ qua về HTML Purifier thì đây là bộ thư viện rất mạnh dùng triển khai trong code của mình để chống XSS. Được xây dựng theo mô hình OOP buộc phải dùng siêu dễ, sau thao tác include file thư viện, chỉ bắt buộc tạo instance của đối tượng HTML Purifier và gọi phương thức purify() là có thể filter được dữ liệu đầu vào.
require_once '/path/to/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
$clean_html = $purifier->purify($dirty_html);
Bảng so sánh giữa các bộ thư viện filter HTML để chống XSS:
một số chức năng chính của thư viện HTML Purifier
Hy vọng bài viết này sản xuất cho khách hàng phần nào về mối đe dọa và phòng giảm thiểu XSS trong công đoạn triển khai ứng dụng web của bạn.
>>> với thể bạn quan tâm: Thiet ke website chuan seo
0 nhận xét:
Đăng nhận xét