View Full Version : روش جلوگیری از حملات xss توسط iframe در صفحات asp.net
amirjalili
شنبه 08 آبان 1389, 16:13 عصر
برای جلوگیری از حملات xss که از طریق iframe انجام میشه چه کاری باید انجام داد. آیا دات نت کتابخانه ای برای این کار داره؟ اگه نداره راه حل تامین امنیت در این مورد چیه؟
maxpayn2
شنبه 08 آبان 1389, 16:17 عصر
Microsoft Web Protection Library
http://wpl.codeplex.com/
amirjalili
یک شنبه 09 آبان 1389, 08:37 صبح
با تشکر
antixss چند تا متد داره برای انکد کردن از جمله html,url,attribute ,...
انکد کردن به در ما در مورد iframe نمیخوره. نه attribute ش و نه url اون. چون ما میخواهیم که iframe کار کنه. هم خودش و هم url اون.
نمیدونم شاید راه بهتری هست و شاید من اطلاعاتم راجع به antixss کمه. لطفا راهنمایی کنید
maxpayn2
یک شنبه 09 آبان 1389, 08:54 صبح
خودم هنوز ازش استفاده نکردم و همینطور از iframe ، ولی یه جا شنیدم که antixss به عنوان یه httpModule کار میکنه و هر response و request رو کنترل میکنه ، اگه اینطوری نیست بفرمایید ما هم روشن بشیم .
amirjalili
یک شنبه 09 آبان 1389, 12:29 عصر
من که ندیدم antixss در این مورد حداقل کاری انجام بده. چند بار هم تست کردم.
بذار مسئله رو یه جور دیگه هم شرح بدم :
مثلا در اون صفحه که iframe در خودش باز میکنه یک سری اسکریپت هایی نوشته میشه و همچنین فرد مهاجم در iframe میاد و کارهای مخرب میکنه مثلا یک فرم ورود به سایت عین مال شما درست میکنه و وقتی سایت باز میشه شما میرید و یوزر و پسورد خودتون رو وارد میکنید و اینطوری اون فرد صاحب پسورد شما میشه.
شاید راه حلش پاک کردن کلیه تگ های iframe باشه.
فرض کن شما یک چیزی مثل ckeditor داری که میای و در بخش نظرات سایت ازش استفاده میکنی. فرد جای اینکه بیاد نظر بده به جاش یک iframe میندازه تو صفحه که البته برای این روش از encode کردن استفاده میشه اما یه وقتی هست که مثل cms ها شما میخوای بعدا عین چیزی رو که در ckeditor ساختی رو نمایش بدی . اون وقت این تگ خطرناک میشه.
راه حلش چیه؟
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.