慎防国际化中的language参数XSS注入

最近使用的xwiki又被安全中心眷顾了，扫描到一个新的xss漏洞。 由于xwiki是一个国外的开源论坛，做过国际化处理,支持多语言， 于是在页面上存在一些这样的代码：

 

<html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">

<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1" />
<meta name="gwt:property" content="locale=en" />

 

注意这些编码串，全部是动态获取的，代码如下：

<meta name="gwt:property" content="locale=$!{context.language}"

 

于是，邪恶就诞生了！

?language="></script><script>alert()</script>&viewer=changes

 这段注入代码去http://platform.xwiki.org/xwiki/bin/view/DevGuide/DataModel?language="></script><script>alert()</script> 尝试过，该网站有做过处理，攻击不会成功。

 

但是自己下载的xwiki使用就要注意了，上面提到的动态取context.language则一定会被注入到很惨！特别是

/xwiki/templates/htmlheader.vm   这个公用的页头。

 

目前我的解决方案是，用xwiki提供的模板函数replaceAll来过滤特殊字符。<>/

<meta name="gwt:property" content="$!context.language.replaceAll("<", "&lt;").replaceAll(">", "&gt;").replaceAll("/", " ")" />

 

 

下面也顺带把各种过滤条件都列出来，方便后期当手册翻阅：

html元素过滤字符集合

ignoreHtmlElementsTable.put('<', "&lt;");
ignoreHtmlElementsTable.put('>', "&gt;");
ignoreHtmlElementsTable.put('\'', "&#39;");
ignoreHtmlElementsTable.put('\"', "&quot;");
ignoreHtmlElementsTable.put('&', "&amp;");

 html属性过滤字符集合

ignoreHtmlAttributesTable.put('=', "=");
ignoreHtmlAttributesTable.put('`', "`");

 xml元素、属性过滤字符集合

ignoreXmlElementsTable.put('\'', "'");