Die Milchtüte ist umgezogen! Dieser Blog wird von mir nicht mehr weiter betrieben, ihr seid von mir aber herzlich zu meinem neuen (technischeren) Blog eingeladen. Mein Statement zur "Schliessung" findet ihr hier, mein neues Projekt findet ihr unter itkrauts.com.
The "Milchtüte has moved! I decided to discontinue this blog, but you are invited to enjoy my new (more technical) blog. You'll find my new project at itkrauts.com.
Die geistigen Wirrungen des Sebastian Bauer

Artikel mit Tag eventhandler

Verwandte Tags

Montag, 27. November 2006

Wie man unter PHP Eventhandler aus HTML Elementen filtert

Security
Falls das mal jemand für eine Website, ein CMS oder ähnliches gebrauchen kann: Folgende Regular-Expression filtert Eventhandler (onclick, onmouseover usw.) automatisch aus HTML Elementen aus, da diese ein Sicherheitsrisiko (XSS) darstellen.

Die Funktion nimmt als Parameter einen String mit dem zu filternden Inhalt oder ein Array aus Strings an.

  1. function stripEvents ($myVar) {
  2.   if (is_array($myVar)) {
  3.     foreach ($myVar as $k => $v)
  4.       $myVar[$k] = stripEvents($v);
  5.     return $myVar;
  6.   }
  7.   else {
  8.     // First we loop through all tags that contain possible event handler.
  9.     // To avoid endless loops (could happen if the first preg_match detects a possible
  10.     // event handler, which in fact isn't one and won't be filtered by the second one), we
  11.     // store the position where the first match occurs. If we get to this point again, we know
  12.     // that we are beginning an endless loop and can escape from it.
  13.     $lowestOffset = 0;
  14.     while(preg_match("/<[^<]*?\son[^<]*?>/i", $myVar, $tag, PREG_OFFSET_CAPTURE) != 0) {
  15.      
  16.       if($lowestOffset < $tag[0][1])
  17.         break;
  18.       else {
  19.         $lowestOffset = $tag[0][1];
  20.       }
  21.       // To rebuild the string without the eventhandler, we have to store the length of the tag
  22.       // The offset where this tag begins is stored in $tag[0][1]
  23.       $length = strlen($tag[0][0]);
  24.       // Now strip out the event handler
  25.       $tagStripped = preg_replace("/(\s)+on\w+\s*?=\s*?[\"'].*?[\"'](\s|>)+?/i", '$1$2', $tag[0][0]);
  26.       // Split the complete source string into 2 parts without the modified HTML tag
  27.       $part1 = substr($myVar, 0, $tag[0][1]);
  28.       $part2 = substr($myVar, $tag[0][1]+$length);
  29.       // Rebuild the source string containing the modified, event-handler-free HTML tag
  30.       $myVar = $part1 . $tagStripped . $part2;
  31.     }
  32.   }
  33.   return $myVar;
  34. }


//Update (05.12.2006 - 09.24 Uhr): Hab die Funktion nochmals überarbeitet, da es teilweise durch greedy RegExes zu fehlerhaften Matches kommt, dem wird jetzt entgegengewirkt, indem zuerst alle Tags gesucht werden, welche überhaupt als möglicher Container eines Eventhandlers in Frage kommen und dann einzeln gefiltert werden.
Geschrieben von Sebastian Bauer in Security, Software & Coding um 15:40 | Kommentare (2) | Trackback (1)
Tags für diesen Artikel: , , , , ,

(Seite 1 von 1, insgesamt 1 Einträge)