Является ли json_encode достаточной защитой XSS?

У меня есть объект stdClass в PHP, что-то вроде

$o = new stdClass;
$o->foo = $bar

Переменная $bar содержит недоверенную строку.

Является ли следующий код шаблона PHP достаточной защитой XSS

<script type="text/javascript">
    var o = <?php echo json_encode($o); ?>;
</script>

Моя первоначальная инстинктивная реакция заключается в том, что является безопасным, поскольку кодирование объекта в виде JSON гарантирует, что любые потенциальные эксплойты JavaScript будут инертными, если их включить в качестве объектов свойств строки JSON. Примерно так

$o = new stdClass;
$o->foo = "<script type=\"text/javascript\">alert(document.cookie)</script>";
?>
<script type="text/javascript">
    var o = <?php echo json_encode($o) ?>;    
</script>

В результате получается такой

<script type="text/javascript">
    var o = {"foo":"<script type=\"text\/javascript\">alert(document.cookie) <\/script>"};    
</script>

Если это известно как небезопасный, существует ли стандартный, зрелый способ сериализации простого объекта stdClass в строку JSON для использования в части <script/> HTML-документа.

В ожидании первого быстрого ответа я понимаю, что сработали бы любые HTML-теги или иная XSS-фильтрация каждого элемента объекта JSON, но я ищу краткий способ сделать это. Подобно тому, как это

//$eBar = addslashes($bar);
$sql = sprintf("SELECT * FROM table WHERE foo = '%s'",mysql_real_escape_string($bar));

и это

$sql = $db->select('SELECT * from table where foo = ?', $bar);

(в большинстве случаев) функционально эквивалентны, но последний считается лучшим, более безопасным кодом, поскольку конечному программисту не нужно беспокоиться об экранировании схем.

Ответ 1

Кажется, что лучший ответ на этот вопрос лежит в другом вопросе.

Подводя итог, PHP JSON-кодер избегает всех несимвольных символов ASCII, поэтому новые строки/возвращаемые каретки не могут быть вставлены в пакетную часть Javascript-строки свойства JSON. Это может быть неверно для других кодеров JSON.

Однако передача исходной строки в JSON-кодирование может привести к обычной атаке XSS-атак, предлагается следующая комбинация констант.

var v= <?php echo json_encode($value, JSON_HEX_QUOT|JSON_HEX_TAG|JSON_HEX_AMP|JSON_HEX_APOS); ?>;

или убедитесь, что переменная, переданная в json_encode, действительно является объектом.

Ответ 2

XSS очень широк, и на самом деле невозможно в любой момент узнать, безопасны ли ненадежные данные, которые вы используете.

Ответ на самом деле зависит от ситуации. json_encode не запускается сам по себе - вы используете его только для сериализации. Функция escape, которую вы хотите использовать, будет htmlspecialchars.

Однако зависит от того, хотите ли вы использовать htmlspecialchars. Например, вы введете значение o.foo с помощью innerHTML или textContent? Последнее привело бы к двойному побегу, но первый вложил бы script. Как насчет того, собираетесь ли вы использовать eval (в JS)?

Кстати, addslashes не, функционально эквивалентный экранированию mysql.

Я бы не стал смешивать JavaScript и PHP таким образом, чтобы начать, но это другая история.

Ответ 3

То, что я делаю, - это оценить объект json, прежде чем приступать к его безопасности. Я думаю, что метод evalJSON (true) в прототипе и jquery имеет аналогичную реализацию. Я не очень разбираюсь в стандартах xss с JSON, но это помогает мне

Ответ 4

Как говорили другие ответы; json_encode не создан для защиты от anti-xss. Если вы специально не кодируете небезопасную строку (или дезинфицируете должным образом), у вас будет потенциальная проблема.

Кроме того, после того, как эта строка будет извлечена из объекта JSON, она по-прежнему потенциально опасна, если ее ввести на страницу в любой момент. Например:

<?php $a->foo = "<script>alert(1)</script>"; ?>
var v = <?php echo json_encode($a); ?>

вряд ли будет выполняться (хотя вы не можете быть уверены). Но если вы должны были сделать:

$('#some-element').html(v.foo);

вы абсолютно столкнулись бы с уязвимостью.