Ben XSS saldırıları benim uygulamayı korumak için HTML Arıtma kullanıyorum. Kullanıcıların XHTML biçimlendirme kullanmak için izin verilen tek yerdir çünkü şu anda ben WYSIWYG editörleri içerik arındırıcı duyuyorum.
Benim sorum, ben bir oturum açma kimlik doğrulama sistemi (ya da e-posta, isim, adres vb gibi kaydolma sayfasının giriş alanları) içinde kullanıcı adı ve şifre de HTML Arıtma kullanmalıyım? Orada XSS saldırı bir şans var mı?
Hiç muhtemelen bir sayfada görüntülenecek bir şey arındırın gerekir. XSS saldırıları ile, korsanları <script> etiketleri veya diğer sitelere bağlantı olabilir diğer kötü niyetli etiketleri koymak çünkü.
Şifreler ve e-postalar ince olmalıdır. Şifreler gösterilir asla ve e-postaları uygun formatta olduğundan emin olmak için kendi doğrulayıcı olmalıdır.
Son olarak, her zaman içerik) (Htmlentities koymak unutmayın.
Oh .. ve filter_var lutfen bak. Filtreleme değişkenlerin çok güzel bir yol.
XSS bir kullanıcı tarafından girilen verilerin may diğer kullanıcılar tarafından görülebilmesini nereye kadar mevcut riskler. Bu veriler şu anda görüntülenebilir olmasa bile, bunu yapmak için bir ihtiyaç ortaya olmayacak düşünmeyin.
Bildiğim kadarıyla kullanıcı adı ve şifre gitmek gibi, bir parola görüntüler asla, hatta bu görüntülenir edilebilir bir biçimde depolamak (yani encyrpt o sha1()). Adları için, [A-Za-z0-9_] gibi yasal karakterler üzerinde bir kısıtlama var. Görüntülenen herhangi bir zaman sözdizimi hataları neden bu veri engeller ayrılmış veya özel html karakterler içerebilir girilen veriler için nihayet, diğer cevabı da anlaşılacağı gibi, dil html varlık kodlaması işlevini kullanın.
