DevProTalk - Pogledajte određenu poruku

mileusna · 14. 10. 2008.

Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar.

Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript.

No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju htmlspecialchars, onda će se <script> pretvoriti u <script> i tretiraće se kao tekst te postaje bezopasan.

Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa.

14. 10. 2008.	#8
mileusna Super Moderator Knowledge base Datum učlanjenja: 20.03.2006 Lokacija: Kragujevac Poruke: 1.878 Hvala: 291 1.345 "Hvala" u 355 poruka	Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar. Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript. No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju htmlspecialchars, onda će se <script> pretvoriti u <script> i tretiraće se kao tekst te postaje bezopasan. Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa. __________________ Naslovi.net \| Gdestinacija.com \| I Shot The Sheriff \| @mileusna