- Iszonyatos mennyiségű hulladékkal járhat a Windows 10 terméktámogatásának vége
- Egyesítené a ChromeOS-t és az Androidot a Google
- Új szintre emelte a fényűzés fogalmát az ASUS
- Kivenné a részét az új HBM memóriák tokozásából az LG
- Az ASUS legfrissebb analóg billentyűzete az ízületeinket is kímélni szeretné
- Új szintre emelte a fényűzés fogalmát az ASUS
- Milyen TV-t vegyek?
- Milyen belső merevlemezt vegyek?
- Iszonyatos mennyiségű hulladékkal járhat a Windows 10 terméktámogatásának vége
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- Egyesítené a ChromeOS-t és az Androidot a Google
- OLED TV topic
- OLED monitor topik
- Maximum 320 Hz-et képes magából kipréselni a Philips dual mode-os monitora
- Androidos tablet topic
Új hozzászólás Aktív témák
-
Taci
addikt
Eljutottam oda, hogy az XSS elleni védelemmel is foglalkozni tudjak. Mivel egyelőre csak 1 user inputos rész van a weblapon, ez pedig a kereső, a kliens oldali része miatt a Javascript-topikba írtam.
Viszont aztán beugrott, hogy mivel RSS-csatornák tartalmával dolgozom, kvázi azok is külső források, amikből származó tartalmat ugyanúgy fenntartásokkal kell kezelnem. Hiszen ha a külső forrást támadják, és mondjuk átírják kártékony kóddal az RSS tartalmát, akkor ha ellenőrzés nélkül tárolom és használom az onnan származó adatokat, akkor azzal én is "fertőződöm".
Ennek szeretnék így hát elébe menni.
Ezeket az adatot szúrom be (jelen pillanatban ellenőrzés nélkül) a HTML kódba, ami ezekből a külső RSS forrásokból származik:
- cikkhez tartozó link
- képhez tartozó link
- cikk címe, leírásaItt ugye pl. az <img> tagnél lehet máris probléma, amit egyből reprodukálni is tudtam, mert ha az
<img src="után egy eltérített "link" kerül be (pl.:http://url.to.file.which/not.exist" onerror="alert('Hacked!')"), akkor máris bajban vagyok.
És ez ugyanúgy igaz lehet millió másik tagre, képnél, szövegnél, az összes ponton, ahova csak beszúrom ezeket a tartalmakat a HTML kódban.Van esetleg bevált megoldásotok ennek a problémának a kezelésére?
Így első keresésre ezt találtam: Sanitize filtersOlyasmi (talán-)megoldást tudok saját kútfőből, hogy csinálok egy funkciót, ahol az érintett adatokat átszűröm, és kiszedem belőle az összes lehetséges HTML tag-et és event-et. Ez egy hosszú lista lesz, viszont mivel egyik adatban (cikkhez tartozó link, képhez tartozó link, cikk címe, cikk leírása) sem szerepelhet ilyen (illetve leírásban már találtam, de az már ki van szedve), ezért ez talán egy jó módszer lehet.
Aztán olyanra is gondoltam, hogy ha az előbbi ("Hacked") példát nézem, hogy ott (<img src-nál) arra játszanak, hogy maguk rakják a záró idézőjelet (" vagy ' is lehet, gondolom), és utána a saját kódjukat hívják valamilyen event mögé pakolva. Így ha találok egy (elvileg csak) linkben " vagy ' karaktert, akkor azzal kezdődően levágom, és kész.
De ezek ilyen első gondolatos megoldási kísérletek. Ha van esetleg bevált megoldás rá, akkor nem pazarolnám erre az időt.
Köszönöm.
Új hozzászólás Aktív témák
- HP Envy x360 14-fc0789nz - ÚJ - 14" 2-in-1 notebook - Core U7, 32GB, 2.8k OLED
- Asztali PC , i5 10500 , RTX 3070 , 32GB RAM , 512GB NVME , 1TB HDD
- Lenovo Gaming 3 15ARH7 Laptop , R5 7535HS , RTX 3050 6GB
- Eladó Dell Latitude 3410 i3 10. generáció, 8GB RAM, 256GB SSD
- DJI Air 2s drón szett hibátlan állapotban
- Csere-Beszámítás! Asztali számítógép játékra! I5 14400F / RX 6900 XT 16GB / 32GB DDR5 / 1TB SSD
- Bomba ár! Dell Latitude E6420 - i5-2GEN I 4GB I 250GB I HDMI I 14" HD I W10 I Gari!
- Samsung Galaxy S25 Plus Navy 12/256 GB Újszerű, karcmentes állapotban!
- PlayStation Plus Premium előfizetések
- Új! HP 230 Vezetéknélküli USB-s Billentyűzet
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest