Как с помощью функции strpos отфильтровать js-код?

Question

[tyxeo]

на клиенте создается innerHTML-строка и она сохраняется в виде JSON на сервере
и потом обратно загружается с сервера в документ на клиенте
злоумышленник может внедрить js-код
надо сделать функцию которая на сервере будет проверять есть ли в строке подстроки являющиеся js-кодом

думаю по-очереди проверять есть ли такие подстроки:
script
function
...

- то есть небольшой набор запрещенных слов

жизнеспособный ли вариант?
и какие еще строки надо добавить?

Comments

[Ипатьев]

зачем?

[tyxeo]

Ипатьев, уточнил вопрос

[Ипатьев]

что за "документ на клиенте"?

[tyxeo]

Ипатьев, например список строк
пользователь его редактирует и клиент сохраняет на сервер

[Ипатьев]

я не про сервер вас спросил
читайте, пожалуйста, внимательнее.
ещё раз: что за "документ на клиенте"?

[Василий Банников]

Попытка навелосипедить санитайзер - это прямой путь словить инъекцию.
Зачем вообще разрешать пользователю писать произвольный html?

[Сергей delphinpro]

Василий Банников, ну вот хабр например позволяет

даже	таблицы	вставлять
даже	таблицы	вставлять
даже	таблицы	вставлять

Почему нет?

ps
А атрибуты режет. при выводе на страницу =)

spoiler

[Василий Банников]

Сергей delphinpro, это то да, но инпуты же не ограничиваются одними лишь комментариями)

[tyxeo]

Ипатьев, я же сказал - список строк например
пользователь их создает и они сохраняются на сервер

[tyxeo]

Василий Банников, суть в том что я делаю проект не для продакшена
это любительский проект
мне надо проще всё сделать
свой простой аналог санитайзера
я попробовал разобраться в нем - это очень трудно для меня

[Ипатьев]

Если это "список строк", то пиши в них хоть яваскрипт, хоть всю таблицу менделеева, никому никакого вреда он не принесёт. Можете удалять свой вопрос.

Answer 1

[Everything_is_bad]

Тебе уже отвечали, не нужно изобретать свой велосипед. нужно подключить санитайзер. Как на сервере проверить строку на отсутствие в ней js-кода?

Answer 2

[Сергей delphinpro]

variable

думаю поочереди проверять есть ли такие подстроки:

ну да...

"create a main variable" - содержит подстроку var (но не является кодом)
"let's do it" = содержит подстроку let (но не является кодом)

Подсказка: нужно сначала определить задачу - с какой целью вы хотите найти js код, а уже потом искать решения.

Comments

[tyxeo]

уточнил вопрос

[Сергей delphinpro]

tyxeo, ok

js код может быть выполнен только внутри тега script или в содержимом атрибута html-тега.
Значит вам нужно очистить только это. Проверять на все ключевые слова языка не требуется.

то есть вам нужно удалить все теги script и вычистить все атрибуты у тегов.

[Сергей delphinpro]

очистить от лишних тегов можно функцией strip_tags, а насчет атрибутов так сразу не скажу. Наверное регуляркой чистить.

[tyxeo]

Сергей delphinpro, то есть надо найти полный список атрибутов в которых может быть код?

есть такой список готовый?

[Сергей delphinpro]

tyxeo, я бы сделал белый список. так проще.

[Сергей delphinpro]

что вам может теоретически потребоваться? Навскиду, только style. Остальное - в топку.

[tyxeo]

Сергей delphinpro, а пример реализации твоей идеи можешь показать?
не пойму что ты имеешь в виду

[tyxeo]

Сергей delphinpro, мне нужно чтобы функция возвращала true/false после проверки на запретные слова

[Сергей delphinpro]

навскиду что то вроде

$html = preg_replace('/<(a-z)+[^>]*>', '<$1>', $html);

[Ипатьев]

Сергей delphinpro, рекомендую что-нибудь почитать про более цивилизованные методы

[Сергей delphinpro]

Ипатьев, зачем?