Комментарии: Чистим HTML в AppEngine (Sanitize HTML)

Комментарии: Чистим HTML в AppEngine (Sanitize HTML) http://usanov.net/1397-chistim-html-v-appengine-sanitize-html На иконку RSS можно нажать :) Thu, 09 Feb 2012 12:35:26 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Автор: Ikutsin http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-555 Ikutsin Wed, 19 May 2010 20:20:10 +0000 http://usanov.net/?p=1397#comment-555 Еще раз на всякий случай проверил: [code lang="python"] ''' Created on 19.05.2010 @author: Ikutsin ''' from utility import html from nose.tools import eq_ from nose.plugins.attrib import attr @attr('debug') def sanitize_test(): data = '''  <DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029"> <OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('XSS')></OBJECT> <EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED> <EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED> <?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time"> <?import namespace="t" implementation="#default#time2"> <t:set attributeName="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS")</SCRIPT>"> <IMG SRC="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode"> <A HREF="http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D">XSS</A> <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> <IMG SRC=javascript:alert('XSS')> <IMG """><SCRIPT>alert("XSS")</SCRIPT>"> <IMG SRC="jav ascript:alert('XSS');"> <IMG SRC="jav ascript:alert('XSS');"> <IMG SRC="jav ascript:alert('XSS');"> <A HREF="//google">XSS</A> <TABLE BACKGROUND="javascript:alert('XSS')"> <FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET> <BR SIZE="&{alert('XSS')}"> < %3C &lt < &LT &LT; &#60 &#060 &#0060 &#00060 &#000060 &#0000060 < < < < < < &#x3c &#x03c &#x003c &#x0003c &#x00003c &#x000003c < < < < < < &#X3c &#X03c &#X003c &#X0003c &#X00003c &#X000003c < < < < < < &#x3C &#x03C &#x003C &#x0003C &#x00003C &#x000003C < < < < < < &#X3C &#X03C &#X003C &#X0003C &#X00003C &#X000003C < < < < < < \x3c \x3C \u003c \u003C <LINK REL="stylesheet" HREF="http://ha.ckers.org/xss.css"> <TABLE><TD BACKGROUND="javascript:alert('XSS')"> <TABLE><TD BACKGROUND="javascript:alert('XSS')"></td></table> ''' print (html.sanitize_html(data)) [/code] На выходе: [code lang="plain"] <div> <object classid="clsid:ae24fdae-03c6-11d1-8b76-0080c744f389"><param name="url" value="javascript:alert('XSS')"></object> <embed src="http://ha.ckers.org/xss.swf" allowscriptaccess="always"></embed> <embed src="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" allowscriptaccess="always"></embed> <t:set attributename="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS")</SCRIPT>"> <img src="http://www.thesiteyouareon.com/somecommand.php?somevariables=maliciouscode"> <a href="http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D">XSS</a> <script src="http://ha.ckers.org/xss.js"></script> <img> <img><script>alert("XSS")</script>"> <img> <img> <img> <a href="//google">XSS</a> <frameset><frame src="javascript:alert('XSS');"></frameset> <br> < %3C < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < < \u003c \u003C <link rel="stylesheet" href="http://ha.ckers.org/xss.css"> <table> </table> <table><tbody><tr><td></td></tr></tbody></table> </div> tests.sanitize_test.sanitize_test ... ok ---------------------------------------------------------------------- Ran 1 test in 0.250s OK [/code] Еще раз на всякий случай проверил:

'''
Created on 19.05.2010

@author: Ikutsin
'''
from utility import html
from nose.tools import eq_
from nose.plugins.attrib import attr

@attr('debug')
def sanitize_test():
    data = '''
<!--[if gte IE 4]>
<SCRIPT>alert('XSS');</SCRIPT>
<![endif]-->
<DIV STYLE="background-image:\0075\0072\006C\0028'\006a\0061\0076\0061\0073\0063\0072\0069\0070\0074\003a\0061\006c\0065\0072\0074\0028.1027\0058.1053\0053\0027\0029'\0029">
<OBJECT classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('XSS')></OBJECT>
<EMBED SRC="http://ha.ckers.org/xss.swf&quot; AllowScriptAccess="always"></EMBED>
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time">
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" to="XSS&lt;SCRIPT DEFER&gt;alert(&quot;XSS&quot;)&lt;/SCRIPT&gt;">
<IMG SRC="http://www.thesiteyouareon.com.....t;&gt;
<A HREF="http://%77%77%77%2E%67%6F%6F%6...../A&gt;
<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
<IMG SRC=javascript:alert('XSS')>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
<IMG SRC="jav&#x0A;ascript:alert('XSS');">
<IMG SRC="jav&#x09;ascript:alert('XSS');">
<IMG SRC="jav    ascript:alert('XSS');">
<A HREF="//google">XSS</A>
<TABLE BACKGROUND="javascript:alert('XSS')">
<FRAMESET><FRAME SRC="javascript:alert('XSS');"></FRAMESET>
<BR SIZE="&{alert('XSS')}">
<
%3C
&lt
&lt;
&LT
&LT;
&#60
&#060
&#0060
&#00060
&#000060
&#0000060
&#60;
&#060;
&#0060;
&#00060;
&#000060;
&#0000060;
&#x3c
&#x03c
&#x003c
&#x0003c
&#x00003c
&#x000003c
&#x3c;
&#x03c;
&#x003c;
&#x0003c;
&#x00003c;
&#x000003c;
&#X3c
&#X03c
&#X003c
&#X0003c
&#X00003c
&#X000003c
&#X3c;
&#X03c;
&#X003c;
&#X0003c;
&#X00003c;
&#X000003c;
&#x3C
&#x03C
&#x003C
&#x0003C
&#x00003C
&#x000003C
&#x3C;
&#x03C;
&#x003C;
&#x0003C;
&#x00003C;
&#x000003C;
&#X3C
&#X03C
&#X003C
&#X0003C
&#X00003C
&#X000003C
&#X3C;
&#X03C;
&#X003C;
&#X0003C;
&#X00003C;
&#X000003C;
\x3c
\x3C
\u003c
\u003C
<LINK REL="stylesheet" HREF="http://ha.ckers.org/xss.css"&gt;
<TABLE><TD BACKGROUND="javascript:alert('XSS')">
<TABLE><TD BACKGROUND="javascript:alert('XSS')"></td></table>
'''
    print (html.sanitize_html(data))

На выходе:


<div>
&lt;object classid="clsid:ae24fdae-03c6-11d1-8b76-0080c744f389"&gt;&lt;param name="url" value="javascript:alert('XSS')"&gt;&lt;/object&gt;
&lt;embed src="http://ha.ckers.org/xss.swf&quot; allowscriptaccess="always"&gt;&lt;/embed&gt;
&lt;embed src="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" allowscriptaccess="always"&gt;&lt;/embed&gt;

&lt;t:set attributename="innerHTML" to="XSS&amp;lt;SCRIPT DEFER&amp;gt;alert("XSS")&amp;lt;/SCRIPT&amp;gt;"&gt;
<img src="http://www.thesiteyouareon.com.....t;&gt;
<a href="http://%77%77%77%2E%67%6F%6F%6...../a&gt;
&lt;script src="http://ha.ckers.org/xss.js&quo.....pt&gt;
<img>
<img>&lt;script&gt;alert("XSS")&lt;/script&gt;"&gt;
<img>
<img>
<img>
<a href="//google">XSS</a>
&lt;frameset&gt;&lt;frame src="javascript:alert('XSS');"&gt;&lt;/frameset&gt;
<br>
&lt;
%3C
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
&lt;
\u003c
\u003C
&lt;link rel="stylesheet" href="http://ha.ckers.org/xss.css"&gt;
<table>
</table>
<table><tbody><tr><td></td></tr></tbody></table>
</div>
tests.sanitize_test.sanitize_test ... ok

----------------------------------------------------------------------
Ran 1 test in 0.250s

OK

]]> Автор: Ikutsin http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-554 Ikutsin Tue, 18 May 2010 16:27:28 +0000 http://usanov.net/?p=1397#comment-554 Странно, у меня чистит. Проверьте настройки. Странно, у меня чистит. Проверьте настройки.

]]> Автор: Александр Ходырев http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-552 Александр Ходырев Tue, 18 May 2010 11:06:07 +0000 http://usanov.net/?p=1397#comment-552 Даже ссылки с href="javascript:" не чистит. Или <IMG SRC="jav ascript:alert('XSS');">. (это я немножко сам санитизировал — не знаю, как коммент будет выглядеть) Не говоря уже о том, что XSS можно сделать кодом, который html5lib не распарсит (а браузеры будут показывать). http://ha.ckers.org/xss.html почитайте, много интересного узнаете. И это только начало. Даже ссылки с href=»javascript:» не чистит. Или <IMG SRC=»jav ascript:alert(‘XSS’);»>. (это я немножко сам санитизировал — не знаю, как коммент будет выглядеть) Не говоря уже о том, что XSS можно сделать кодом, который html5lib не распарсит (а браузеры будут показывать). http://ha.ckers.org/xss.html почитайте, много интересного узнаете. И это только начало.

]]> Автор: cijman http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-551 cijman Sun, 16 May 2010 15:15:33 +0000 http://usanov.net/?p=1397#comment-551 В целом неплохо. Интересно было почитать В целом неплохо. Интересно было почитать

]]> Автор: Саша http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-550 Саша Fri, 14 May 2010 16:57:25 +0000 http://usanov.net/?p=1397#comment-550 в рунете тоже есть сайт как stackoverflow, askdev.ru называется. в рунете тоже есть сайт как stackoverflow, askdev.ru называется.

]]> Автор: Cheaper http://usanov.net/1397-chistim-html-v-appengine-sanitize-html/comment-page-1#comment-480 Cheaper Mon, 05 Apr 2010 12:29:26 +0000 http://usanov.net/?p=1397#comment-480 Попробуем на досуге :-). Интересный сайт stackoverflow.com, будем теперь ссылки спамеров только так вырезать. Попробуем на досуге

. Интересный сайт stackoverflow.com, будем теперь ссылки спамеров только так вырезать.

]]>