[PHP] XSS 방어용 필터링 하기2 (주소창에서 바로 막기)

[PHP] XSS 방어용 필터링 하기1 (GET/POST 변수들 막기) (tistory.com)

[PHP] XSS 방어용 필터링 하기1 (GET/POST 변수들 막기)

 

앞전에 포스팅 글은 도메인주소와 파일명뒤 GET/POST 방식으로 XSS 막는 방법이라 할 수 있는데, 

이번에는 도메인자체로 XSS 를 막아보도록 하자.

 

 

[1] https://도메인/test.php/"><script>alert(47)</script> 으로 동작을 하는지 체킹해볼것.
[2] https:// 도메인/test.php?page=3"<script>alert(343)</script> 으로 ? 뒤에 GET 방식으로도 XSS 제거 되는지 체킹해볼것.

 

 

javascript 가 동작하는지 체킹해보자. 

 

http://도메인/파일명/"><script>alert(47)</script>

 

/"><script>alert(47)</script>

 

물론 404 Not Found 처리를 해도 되겠지만, 필자는 유효하지 않은 도메인과 파일명으로 직접 들어올때는 메인페이지로 강제 이동 시켰다.

 

아래의 소스에서 404 Not Found 처리하려면

header("HTTP/1.0 404 Not Found"); 으로 변경하면 되겠다.

 

<?
 
// 현재 파일의 경로를 얻어옵니다.
$currentURI = $_SERVER['REQUEST_URI'];
 
// URI에서 GET 변수를 제외한 부분을 가져옵니다.
$uriWithoutQuery = strtok($currentURI, '?');
 
// 예시로 허용되지 않는 문자열을 제거하고자 하면, 아래와 같이 사용할 수 있습니다.
$allowedCharacters = '/^[a-zA-Z0-9\/_.-]+$/'; // 허용된 문자 집합
$uriWithoutQueryCleaned = preg_replace('/[^a-zA-Z0-9\/_.-]/', '', $uriWithoutQuery); // 허용되지 않는 문자열 제거
 
// URI가 정상적이지 않은 경우에는 메인 페이지로 리다이렉트합니다.
if ($uriWithoutQueryCleaned !== $uriWithoutQuery) {
    header("Location: /"); // 메인 페이지로 리다이렉트
    exit; 
}
 
?>