PDA

View Full Version : سوال: جلوگیری از XSS و سوالات مربوط



Ahmad06
شنبه 07 آذر 1388, 18:50 عصر
آیا جهت جلوگیری از XSS بکارگیری تابع
strip_tags هنگام نمایش محتوا کافی هست ؟

و اینکه وقتی ما بخواهیم تابعی مانند IMG را اجازه بدیم کاربر وارد کنه نمایش داده بشه چطور میتونیم از محتوای src اون مطمئن بشیم ؟ که مثلا فایل php,javascript و این فایل ها به جای یک تصویر در اون قرار نگرفته باشه ؟

یکی از نمونه ها

<img src=”http://google.com/images/logo.gif” onload=”window.location=’http://yahoo.com/’” />

در حال حاضر من از طریق strip_tags اینکارو میکنم و تگ هایی که قرار هست فیلتر نشوند رو هم
توی همین تابع قرار میدم.

بهترین روش برای مطمئن بودن از فیلتر کردن xss های مخرب در محتوای خروجی چه چیزی هست ؟

امیـرحسین
شنبه 07 آذر 1388, 23:54 عصر
بهترین روش بستن دست و پای کاربر هست یعنی تا جایی که ممکنه اختیار به کاربر داده نشه. توی مثال IMG اگر قرار عکس به انتخاب کاربر ساخته شه، کافیه فقط src رو بگیرید نه چیز دیگه ای. حتی می تونید از وجود عکس هم مطمئن شید.
اگر منظورتون از قرار دادن عکس، چیزی شبیه Editor یا textbox هست مثل همین فروم، که تگهای BBCODE واسه همین موقعهاست.
برای مقابله با XSS باید تفکرتون این باشه که کاربر هیچ امکانی برای تغییر نداره و فقط زمانی که مجبور هستیم باید بصورت حداقل بهش امکان بدیم.