I many XSS attacks bir "veri tabanı" buldum ve bu liste saldırıların oldukça büyük bir listesini sağlar XML düşmedi başka saldırılar, orada ne için dışarı bakmak ve en beklenmedik ?
I many XSS attacks bir "veri tabanı" buldum ve bu liste saldırıların oldukça büyük bir listesini sağlar XML düşmedi başka saldırılar, orada ne için dışarı bakmak ve en beklenmedik ?
I HTML Purifier önce açıklama metin kutuları içine girişine kullanıcılar sadece belirli güvenli, HTML izin kullandım. Bu çok güzel bir iş yapar ve çok iyi belgelerine sahiptir.
Sayfa değerini yazarken başka, basit bir metin kutusu seçin veya kutu gibi her şey için, ben her zaman koşuyoruz htmlentities():
htmlentities ($_POST['email'], ENT_QUOTES);
Sürece tüm kullanıcı gönderilen veriler her zaman kullanarak sayfa yazıldığı gibi htmlentities() Eğer bir XSS sorun asla.
Değil arıyorsanız, ama sitenizde XSS saldırıları önlemek istiyorsanız, ben de tüm HTML izin vermeyen derdi tam olarak ne emin. HTML izin vermek istiyorsanız, StackOverflow bunu nasıl yaptığını görüyorum.
Sen diğer site cevapsız bir kaç şey bulabilirsiniz here.
Bu çok kapsamlı bir konudur ve ayrıntılı ve XSS gerçekleştirmek için hackerlar tarafından kullanılan tekniklerin tarih bilgisine ihtiyacım var. Ama seninle başlamak için bir şey kullanıcı girişleri güven olmamalıdır. Sitenize veya bozuk veritabanı kesmek potansiyel girişim olarak götürün.
Sen gibi potansiyel zararlı girişini kaldırmak için pek çok temizleme araçları kullanabilirsiniz:
asp.net Microsoft Anti-XSS kütüphanesi için, HTML Agility Paketi codeplex dan.
PHP için kesinlikle HTMLPurifier kullanabilirsiniz. Çok güzel ve yetenekli bir araçtır.