Предотвращение XSS (и других атак) в XSLT сгенерированном содержимом

Question

У меня есть таблица стилей XSLT, которая обрабатывает XML-документ для создания HTML.

Я понял, что можно манипулировать сайтом таким образом, чтобы пользователь мог предоставить любой XML, который им нравится - к сожалению, это неизбежно, поэтому я хотел бы защитить себя от XSS (и других атак) что моя таблица стилей XSLT способна безопасно обрабатывать любой документ.

Что мне нужно знать, чтобы достичь этого?

UPDATE:

Я знаю, что по умолчанию XSLT ускользает выход (который может быть отключен с помощью атрибута disable-output-escaping) - это достаточно, чтобы предотвратить кто-то от того, чтобы внедрить вредоносные элементы HTML и атрибуты?

Answer 1

Если вы обрабатываете данные XML из ненадежного источника и отображаете результат на своем веб-сайте, всегда помните, что ему не следует доверять.

• Вы никогда не должны использовать xsl: copy или xsl: copy-of. Если вы скопируете узлы, отличные от текста, будут возможны атаки XSS.
• Вам не следует использовать сложные или рекурсивные правила. Специально созданный вход может создать DoS за счет задержки обработки XSLT или сбоя процессора.
• Кроме того, как вы упомянули, не отключите выходное экранирование.

Если вы передаете результат преобразования на SQL-сервер, вы не должны помещать какие-либо предоставленные данные в ваш SQL-запрос.

Например, это ПЛОХО:

<xsl:if test="@order">ORDER BY <xsl:value-of select="@order"/></xsl:test> 

Это ХОРОШО:

<xsl:if test="@order">ORDER BY 
    <xsl:chose><xsl:when test="@order = 'foo'">foo</xsl:when> [...] </xsl:chose> 
</xsl:test> 

Если вам действительно нужно передать данные в запросе, использовать переменные связывания.