 ochrona przed xss ale tagi na stronie |
  |
| ochrona przed xss ale tagi na stronie |
 19.08.2008, 13:58:23
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 233 Pomógł: 9 Dołączył: 3.06.2007 Ostrzeżenie: (0%) 
 |
potrzebuję zrobić taką możliwość aby strona była bezpieczna od strony xss ale aby użytkownik mógł edytować swoją stronę wykorzystując html we własnym zakresie
zasadniczo wiem że problem nie jest prosty, tutaj jest kilka metod wstawiania kodu z xss: http://ha.ckers.org/xss.html i znając życie z każdą wersją przeglądarki pojawi się nowy, zresztą to pewnie i tak nie wszystkie metody chciałbym jednak aby na stronie mimo możliwości wprowadzania kodu HTML nie pojawił się kod umożliwiający atak xss najchętniej chciałbym zlokalizować ten kod i usunąć, bądź jeśli o to bardzo trudne/niemożliwe, by skrypt wskazywał zagrożone fragmenty, bądź pomagał w jakiś sensowny sposób w moderacji... wiadomo że nie będzie zabawnie przeglądać wszystkich tagów pod kątem podejrzanych, zamaskowanych sztuczek, których przykłady można obejrzeć na podanej stronie powyżej ma ktoś jakiś pomysł? |
 |
 
|
|
19.08.2008, 16:50:24
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 233 Pomógł: 50 Dołączył: 28.10.2006 Skąd: Radom Ostrzeżenie: (0%)
|
Pomoże Ci funkcja strip_tags" title="Zobacz w manualu PHP" target="_manual
Ustal jakie znaczniki może użyć w kodzie użytkownik, a reszta zostanie usunięta. -------------------- |
|
|
|
|
19.08.2008, 17:01:43
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 233 Pomógł: 9 Dołączył: 3.06.2007 Ostrzeżenie: (0%)
|
wg. strony którą podałem wynika że można zrobić nawet taki atak:
Kod <TABLE BACKGROUND="javascript:alert('XSS')"> i działa to pod IE6.0, Opera 9.02 więc zasadniczo pod każdy tag to można podciągnąć... przeczytaj listę metod a potem coś zaproponuj... |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 15.06.2025 - 02:05 |
