cùng với nhu cầu viết những ứng dụng ngày càng mở rộng chức năng cho các bạn, thì các chức năng cho phép thành viên post nội dung là một thao tác tất yếu. Tuy nhiên, cho phép thành viên gởi nội dung sẽ làm phát sinh đông đảo nguy cơ đe dọa đến sự an toàn của website, trong ấy với một mối đe dọa rất đa dạng ấy là tấn công Cross-Site Scripting (XSS).
>>> Xem thêm: Thiet ke website theo yeu cau
kể sơ qua về tấn công XSS. XSS hiện tồn tại 2 hình thức là Stored XSS và Reflected XSS. Stored XSS là hình thức tấn công mà ở đấy cho phép kẻ tấn công với thể chèn một đoạn script nguy hiểm (thường là Javascript) vào website của chúng ta thông qua 1 chức năng nào đó (vd: viết lời bình, guestbook, gởi bài..), để từ đấy lúc những thành viên khác truy cập website sẽ bị dính mã độc từ kẻ tấn công này, những mã độc này thường được lưu lại trong database của website chúng ta nên gọi là Stored. Stored XSS phát sinh do chúng ta không lọc dữ liệu do thành viên gởi lên một bí quyết đúng đắn, khiến mã độc được lưu vào Database của website. 
Hình thức thứ 2 là Reflected XSS. Trong hình thức này, kẻ tấn công thường gắn thêm đoạn mã độc vào URL của website chúng ta và gởi đến nạn nhân, nếu nạn nhân truy cập URL đấy thì sẽ bị dính mã độc. Điều này xảy ra do ta không để ý filter input từ URL của website mình. 
Tấn công XSS là tấn công nguy hiểm, cho phép kẻ tấn công ăn cắp thông tin trên máy nạn nhân thông qua javascript như ăn cắp cookie, chèn mã độc để chiến quyền điều khiển…
—————————————–
Như vậy, để phòng chống tốt nhất XSS là theo nguyên tắc FIEO (Filter Input, Escape Output). Để khiến cho việc này thì bây giờ mang tương đối đa dạng bộ lọc để chúng ta lựa mua. Hôm nay mình giới thiệu tới các bạn một bộ thư viện viết bằng PHP cho phép filter HTML để ngăn chặn kẻ xấu post mã độc XSS thông qua website của bạn, ấy là HTML Purifier.
kể sơ qua về HTML Purifier thì đây là bộ thư viện rất mạnh dùng triển khai trong code của mình để chống XSS. Được xây dựng theo mô hình OOP phải tiêu dùng vô cùng dễ, sau thao tác include file thư viện, chỉ phải tạo instance của đối tượng HTML Purifier và gọi phương thức purify() là có thể filter được dữ liệu đầu vào.
require_once '/path/to/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
$clean_html = $purifier->purify($dirty_html);
Bảng so sánh giữa các bộ thư viện filter HTML để chống XSS: 
một số chức năng chính của thư viện HTML Purifier 
Hy vọng bài viết này phân phối cho các bạn phần nào về mối đe dọa và phòng hạn chế XSS trong giai đoạn triển khai ứng dụng web của bạn.
>>> mang thể bạn quan tâm: Thiết kế web chuẩn seo
0 nhận xét:
Đăng nhận xét