Question

В отличие от стандартных атак XSS, которые основаны на динамических веб-страницах, атака XSS на основе DOM не требует отправки какого-либо вредоносного кода на сервер и, следовательно, может также использовать статические страницы HTML. Мой скромный вопрос: может ли разработчик надежно кодировать страницу таким образом, чтобы такие атаки можно было предотвратить? Какие методы использовать? Я считаю, что запрос все еще должен передаваться от клиента к серверу независимо от того, является ли страница статической или динамической, и поэтому я думаю и задаюсь вопросом, возможны ли еще проверки на стороне сервера для обнаружения такой атаки?

Sean McMillan · Answer 1 · 06 июля 2011

Чтобы вредоносный код попадал на вашу страницу, вы должны размещать на странице неэкранированный, предоставленный злоумышленником текст. Не имеет значения, выполняете ли вы это на стороне сервера с помощью PHP или на стороне клиента с помощью Javascript - вы должны экранировать любой полученный вами ввод, прежде чем превратить его в вывод.

Используйте ту же дисциплину с вашим javascript, что и с кодом на стороне сервера.

Предотвращение XSS типа 0 (на основе DOM) для приложений JSP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предотвращение XSS типа 0 (на основе DOM) для приложений JSP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы