Ahmad06
شنبه 07 آذر 1388, 19:50 عصر
آیا جهت جلوگیری از XSS بکارگیری تابع
strip_tags هنگام نمایش محتوا کافی هست ؟
و اینکه وقتی ما بخواهیم تابعی مانند IMG را اجازه بدیم کاربر وارد کنه نمایش داده بشه چطور میتونیم از محتوای src اون مطمئن بشیم ؟ که مثلا فایل php,javascript و این فایل ها به جای یک تصویر در اون قرار نگرفته باشه ؟
یکی از نمونه ها
<img src=”http://google.com/images/logo.gif” onload=”window.location=’http://yahoo.com/’” />
در حال حاضر من از طریق strip_tags اینکارو میکنم و تگ هایی که قرار هست فیلتر نشوند رو هم
توی همین تابع قرار میدم.
بهترین روش برای مطمئن بودن از فیلتر کردن xss های مخرب در محتوای خروجی چه چیزی هست ؟
strip_tags هنگام نمایش محتوا کافی هست ؟
و اینکه وقتی ما بخواهیم تابعی مانند IMG را اجازه بدیم کاربر وارد کنه نمایش داده بشه چطور میتونیم از محتوای src اون مطمئن بشیم ؟ که مثلا فایل php,javascript و این فایل ها به جای یک تصویر در اون قرار نگرفته باشه ؟
یکی از نمونه ها
<img src=”http://google.com/images/logo.gif” onload=”window.location=’http://yahoo.com/’” />
در حال حاضر من از طریق strip_tags اینکارو میکنم و تگ هایی که قرار هست فیلتر نشوند رو هم
توی همین تابع قرار میدم.
بهترین روش برای مطمئن بودن از فیلتر کردن xss های مخرب در محتوای خروجی چه چیزی هست ؟