HTML-Code Filtern und bestimmte Tags erlauben

kanufrosch · 6. Dezember 2014

Hey Leute,

Was ich versuche, klingt denkbar einfach, klappt aber noch nicht so 100%-ig.

Ich gebe meinen Usern die Möglichkeit mittels eines editor einen Beschreibungstext zu verfassen. Dieser muss natürlich nach dem Absenden ncoh auf Böswilligkeiten überprüft werden
Dabei sind gewisse HTML-Tags erlaubt, und bestimmte nicht. Es darf zum Beispiel keine Bilder, andere Medien-Elemente geben, ebenso kein Javascript.
Die Liste der erlaubten Tags ist überschaubar. Nun ist mir durchaus bewusst wie ich das grundsätzlich angehen würde, nämlich mittels

PHP

strip_tags()

PHP.net Doku

Damit fliegen zumindest erstmal sämtliche <script> Tags oder sowas raus, und stellen keine gefahr mehr dar. (oder?!) Alle erlaubten Tags, kann ich ja dort rausnehmen.

Laut Doku dürfte auch PHP damit kein Thema mehr sein. (<?php bzw. <? soltle ja eig. mit entfernt werden)
mein Problem ist eine der Warnungen aus der Doku.

Zitat

Warnung

Diese Funktion modifiziert keine Attribute bei Tags, die via allowable_tags erlaubt wurden, dies betrifft auch style und onmouseover Attribute, die ein böswilliger User verwenden kann, um einen Text zu posten, der von anderen Usern gesehen werden soll.

Damit wäre es nach meinem verständniss wiederrum möglich in z.B. onclick-Events Schadcode auszuführen.

Nun endlich mal zu meinen konkreten Fragen:

1. Hat jemand eine Idee wie ich sämtliche unerwünschten Attribute aus allen tags entferne??
2. Reicht die Ausführung von "strip_tags" aus um den Code als "sicher" anzusehen, oder sollte man wietere validierungen vornehmen?

Eine weitere Filterung ist jhalt schwierig, da ja die erlaubten Tags nicht verändert werden sollen (bis auf die Attribute)

Hoffe es ist verständlich was mien Problem ist

MfG Kanu

cottton · 6. Dezember 2014

Immer Filtern auf was Du erlauben möchtest, Nicht auf das, was Du nicht möchtest.
Bsp:
Angenommen es gibt momentan nur 2 tags: <script> und <b>
Die beiden kennst Du und filterst auf das, was Du nicht erlauben möchtest: filter-><script> entfernen
Alles ok, gewünschtes Ergebnis.

Nach einem Jahr (Du hast schon lange nichts mehr an der Seite gemacht) gibt es einen neuen Tag: <böse>
Und hier kommt das Problem: Du hast auf negatives gefiltert. Da war der <böse> tag aber nicht mit drin.
Daher ist dieser tag jetzt aktiv/verfügbar.

Wenn Du also auf positiv filterst und nur Dir bekannte "gute" tags erlaubst, dann kann kommen was will - alles was neu ist muss erst von Dir "eingebaut" werden.
(Prinzip sollte man überall verwenden, wenn möglich)

Zur Sache:
Das einfachste wäre, Du erlaubst gar keine Ausführung von code.
Das würdest Du mit htmlspecialchars() erreichen.
Wie: gnadenlos JEDES einzelne Zeichen das irgendwo im Browser ausgegeben wird mit htmlspecialchars maskieren. Egal, ob es aus Deiner eigenen DB kommt, oder über POST.

Wenn Du aber bestimmte tags erlauben möchtest, dann fällt mir auf Anhieb das Stichwort "Platzhalter" ein.
Bsp:
user input: "das ist mein <script>alert(1)</script> bold text"
Diesen String speicherst Du einfach so wie er ist in der db.
Aber beim Ausgeben suchst Du im String nach freigegebenen Tags:

PHP

$str = "das ist mein <script>alert(1)</script> <b>bold</b> (<b >geht nicht</b>) <br> text. hier versuche ich den </body> zu beenden.";
$erlaubt = array(
    array('<b>', '</b>'), // jeweils ein open und close tab des erlaubten
    array('<i>', '<i>'),
    array('<br>'), // oder nur ein einzellner
);
// "gnadenloses" maskieren des kompletten strings
$str = htmlspecialchars($str);




// erlaubte tags wieder demaskieren
foreach($erlaubt as $tag_paar){ // für jedes erlaubt paar
    foreach($tag_paar as $tag){ // für jeden einzellnen tag
        // str_replace(search, replace, subject)
        // str_replace(masiertes, nicht maskiertes , subject)
        $str = str_replace(htmlspecialchars($tag), $tag, $str);
    }
}
echo $str;

Alles anzeigen

Zitat

das ist mein <script>alert(1)</script> bold (<b >geht nicht)
text. hier versuche ich den </body> zu beenden.

(geht bestimmt noch bissl "schöner")
Wie Du siehst wird zB ein Tag wie zB <tag parameter="abc"> wird also nie ausgeführt.
Es läuft nur das, was laufen soll =)

Macht 9.99€

edit:

PHP

// btw:
$liste = array();
foreach($erlaubt as $tag_paar){
    $liste[] = implode('', $tag_paar);
}
echo "<hr>erlaubte tags: " . htmlspecialchars(implode(', ', $liste));
// out:  erlaubte tags: <b></b>, <i><i>, <br>

kanufrosch · 7. Dezember 2014

Erstmal DANKE

Zitat von cottton

Immer Filtern auf was Du erlauben möchtest, Nicht auf das, was Du nicht möchtest.

Okay, das werd ich wohl jetzt auch nie wieder vergessen
Ist eig. irgendwie sehr naheliegend, kam mir aber irgendwie nicht in den Kopf

Zitat von cottton

Zur Sache:
Das einfachste wäre, Du erlaubst gar keine Ausführung von code.
Das würdest Du mit htmlspecialchars() erreichen.
Wie: gnadenlos JEDES einzelne Zeichen das irgendwo im Browser ausgegeben wird mit htmlspecialchars maskieren. Egal, ob es aus Deiner eigenen DB kommt, oder über POST.

Bekannt, aber das steht leider nicht zur Wahl

Zitat von cottton

Wenn Du aber bestimmte tags erlauben möchtest, dann fällt mir auf Anhieb das Stichwort "Platzhalter" ein.

Wäre mir dieses Stichwort eingefallen wäre, hätte dir das vermutlich viel Zeit gespart

Danke für das Code-Snippet

9,99€ Billig ist anders

Spaß

Manchmal frage ich mich wofür zur Hölle ich Informatik studieren, wenn ich dort eig. nix lerne was mir im Produktiv-Einsatz hilft (Theorie in allen ehren, aber ernsthaft...)

Aber egal DAAANKEEE

EDIT: PS: Verdammt waren das viele Smileys xD

cottton · 7. Dezember 2014

Hehe, ja. Theorie is das eine, ...
das is einer der Gründe, warum ich hier im Forum so "viel" lese/schreibe.
Wenn man in Foren die Probleme anderer einfach mal zu Übungszwecken zu seinen eigenen macht, dann lernt man richtig viel.
Auch wenn es nur Kleinigkeiten sind.
=)

kanufrosch · 8. Dezember 2014

Hey nochmal

Da ich aber nun vor dem Problme stand, keine Attribute zulassen zu können. (Farben etc. müssen leider auch erlaubt sein...) Hab ich doch nochmal weiter gesucht, und bin auch eine Lösung gefunden, die ich ähnlich schon einmal gefunden hatte (sogar schonmal benutzt habe ) Und die das Problem eig. sehr gut löst:

Quelle: http://stackoverflow.com/quest…tributes-from-an-html-tag

PHP

// define allowable tags
    $allowable_tags = '<span><p><a><ul><ol><li><table><thead><tbody><tr><th><td><strong><em>';
// define allowable attributes
    $allowable_atts = array('href','alt','style');




// strip collector
    $strip_arr = array();




// load XHTML with SimpleXML
    $data_sxml = simplexml_load_string('<root>'. $str .'</root>', 'SimpleXMLElement', LIBXML_NOERROR | LIBXML_NOXMLDECL);




    if ($data_sxml ) {
        // loop all elements with an attribute
        foreach ($data_sxml->xpath('descendant::*[@*]') as $tag) {
            // loop attributes
            foreach ($tag->attributes() as $name=>$value) {
                // check for allowable attributes
                if (!in_array($name, $allowable_atts)) {
                    // set attribute value to empty string
                    $tag->attributes()->$name = '';
                    // collect attribute patterns to be stripped
                    $strip_arr[$name] = '/ '. $name .'=""/';
                }
            }
        }
    }




// strip unallowed attributes and root tag
    return strip_tags(preg_replace($strip_arr,array(''),$data_sxml->asXML()), $allowable_tags);

Alles anzeigen

Auch hier wird alles maskiert bzw. entfernt, was nciiht auf das Muster meiner erlaubten tasg bzw. Attribute passt, so das auch das Problem neuer Tags keine Gefahr darstellen sollte.

Ich werde es noch großzügig testen,aber denke so in der Art wird es meine Endlösung

MfG Kanu

PS: Ich weiß, auch diese Lösung arbeitet wieder mit strip_tags, aber ich bin in dem Fall einfach bereit der ufnktion zu vertruene, das sie wirklich alles maskiert, was kein allowable_tag ist...
Mir ist zwar auch noch eine andere Lösung via "Platzhalter" eingefallen, aber diese wäre momentan etwas sehr oversized für mein Problem...

cottton · 8. Dezember 2014

naja, strip_tags ist wie ein "Wilder", der über den Text rennt.

Zitat

Warnung
Da strip_tags() HTML nicht wirklich validiert, kann es passieren, dass bei unvollständigen oder unkorrekten Tags mehr Text/Daten gelöscht werden als erwartet.
Warnung
Diese Funktion modifiziert keine Attribute bei Tags, die via allowable_tags erlaubt wurden, dies betrifft auch style und onmouseover Attribute, die ein böswilliger User verwenden kann, um einen Text zu posten, der von anderen Usern gesehen werden soll.

Was mich sofort nerven würde ist, dass in meinem Text ein <---- o.ä. entfernt werden würde.
Mehr noch - der Text dahinter wäre futsch.

kanufrosch · 8. Dezember 2014

Der Text den ich zu validieren suche, kommt aus dem Editor TinyMCE. Da kann ich ganz gut sichergehen, das gewisse Konstrukte nicht vorkommen...
Aber ich teste auch gerade noche ine Lösung über Pattern mittels RegEx...
Mal sehen ob das noch was wird...^^

Und die böswilligen Attribute werden gefiltert

cottton · 9. Dezember 2014

Regex ... wir mögen uns gegenseitig nicht
Hab Gestern oder Vorgestern erst versucht mit regex eine Zeichenkette auseinander zu nehmen.
Hab dann aber festgestellt, dass es mit explode übersichtlicher und einfacher (für mich :D) wird.

kanufrosch · 9. Dezember 2014

Zitat von cottton

Regex ... wir mögen uns gegenseitig nicht
Hab Gestern oder Vorgestern erst versucht mit regex eine Zeichenkette auseinander zu nehmen.
Hab dann aber festgestellt, dass es mit explode übersichtlicher und einfacher (für mich :D) wird.

Habe ich mich auch lange schwer mit getan, aber irgendwann kam ich nicht mehr drum rum Wenn man dann irgendwelche eigenen URL mittels der htaccess machen will oder so, gibt es haklt nicht mehr immer fertige Codes...
Und wenn man es einmal begriffen hat geht es eigentlich auch

Noch bin ich zu keiner gänzlich zufriedenstellenden Alternative gekommen, aber naja, wird schon noch

HTML-Code Filtern und bestimmte Tags erlauben

Jetzt mitmachen!

Teilen