emad_67
یک شنبه 06 بهمن 1387, 12:43 عصر
سلام
برای جلوگیری از XSS گفته میشه که باید تمام داده های ورودی encode و بعد تو دیتابیس ذخیره بشن. حالا برای اینکه مجددا اون داده ها رو به کاربر نشون بدیم باید decode کنیم اونا رو؟
فرض کنید از ادیتور داده ها رو encode و ذخیره کردیم، حالا اگر decode کنیم اونا رو و به کاربر نشون بدیم که انگار هیچ کاری نکردیم چون اگر اسکریپتی هم در ورودی باشه دوباره بعد از decode اجرا میشه، اگر decode نکنیم هم که تمام کد html نشون داده میشه. باید چیکار کرد که مثلا style مطالب حفظ بشه(مثل فونت و bold و ...) ولی فرضا اگه کسی یه تگ script هم نوشت اونو اجرا نکنه و خودشو به کاربر نشون بده؛ مثل همین سایت.
با تشکر
برای جلوگیری از XSS گفته میشه که باید تمام داده های ورودی encode و بعد تو دیتابیس ذخیره بشن. حالا برای اینکه مجددا اون داده ها رو به کاربر نشون بدیم باید decode کنیم اونا رو؟
فرض کنید از ادیتور داده ها رو encode و ذخیره کردیم، حالا اگر decode کنیم اونا رو و به کاربر نشون بدیم که انگار هیچ کاری نکردیم چون اگر اسکریپتی هم در ورودی باشه دوباره بعد از decode اجرا میشه، اگر decode نکنیم هم که تمام کد html نشون داده میشه. باید چیکار کرد که مثلا style مطالب حفظ بشه(مثل فونت و bold و ...) ولی فرضا اگه کسی یه تگ script هم نوشت اونو اجرا نکنه و خودشو به کاربر نشون بده؛ مثل همین سایت.
با تشکر