Hirdetés
- Milyen RAM-ot vegyek?
- CES 2026: betöltötte a puskaport a Vera Rubinnal az NVIDIA
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- 5.1, 7.1 és gamer fejhallgatók
- NVIDIA® driverek topikja
- Home server / házi szerver építése
- HiFi műszaki szemmel - sztereó hangrendszerek
- CES 2026: valóságos képkockagenerálók lesznek a modernebb GeForce-ok tavasszal
- Milyen egeret válasszak?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
Új hozzászólás Aktív témák
-
Taci
addikt
Eljutottam oda, hogy az XSS elleni védelemmel is foglalkozni tudjak. Mivel egyelőre csak 1 user inputos rész van a weblapon, ez pedig a kereső, a kliens oldali része miatt a Javascript-topikba írtam.
Viszont aztán beugrott, hogy mivel RSS-csatornák tartalmával dolgozom, kvázi azok is külső források, amikből származó tartalmat ugyanúgy fenntartásokkal kell kezelnem. Hiszen ha a külső forrást támadják, és mondjuk átírják kártékony kóddal az RSS tartalmát, akkor ha ellenőrzés nélkül tárolom és használom az onnan származó adatokat, akkor azzal én is "fertőződöm".
Ennek szeretnék így hát elébe menni.
Ezeket az adatot szúrom be (jelen pillanatban ellenőrzés nélkül) a HTML kódba, ami ezekből a külső RSS forrásokból származik:
- cikkhez tartozó link
- képhez tartozó link
- cikk címe, leírásaItt ugye pl. az <img> tagnél lehet máris probléma, amit egyből reprodukálni is tudtam, mert ha az
<img src="után egy eltérített "link" kerül be (pl.:http://url.to.file.which/not.exist" onerror="alert('Hacked!')"), akkor máris bajban vagyok.
És ez ugyanúgy igaz lehet millió másik tagre, képnél, szövegnél, az összes ponton, ahova csak beszúrom ezeket a tartalmakat a HTML kódban.Van esetleg bevált megoldásotok ennek a problémának a kezelésére?
Így első keresésre ezt találtam: Sanitize filtersOlyasmi (talán-)megoldást tudok saját kútfőből, hogy csinálok egy funkciót, ahol az érintett adatokat átszűröm, és kiszedem belőle az összes lehetséges HTML tag-et és event-et. Ez egy hosszú lista lesz, viszont mivel egyik adatban (cikkhez tartozó link, képhez tartozó link, cikk címe, cikk leírása) sem szerepelhet ilyen (illetve leírásban már találtam, de az már ki van szedve), ezért ez talán egy jó módszer lehet.
Aztán olyanra is gondoltam, hogy ha az előbbi ("Hacked") példát nézem, hogy ott (<img src-nál) arra játszanak, hogy maguk rakják a záró idézőjelet (" vagy ' is lehet, gondolom), és utána a saját kódjukat hívják valamilyen event mögé pakolva. Így ha találok egy (elvileg csak) linkben " vagy ' karaktert, akkor azzal kezdődően levágom, és kész.
De ezek ilyen első gondolatos megoldási kísérletek. Ha van esetleg bevált megoldás rá, akkor nem pazarolnám erre az időt.
Köszönöm.
Új hozzászólás Aktív témák
- CURVE - "All your cards in one." Minden bankkártyád egyben.
- Milyen RAM-ot vegyek?
- Android alkalmazások - szoftver kibeszélő topik
- Formula-1
- exHWSW - Értünk mindenhez IS
- PlayStation 5
- CES 2026: betöltötte a puskaport a Vera Rubinnal az NVIDIA
- Építő/felújító topik
- Gumi és felni topik
- Telekom mobilszolgáltatások
- További aktív témák...
- Thinkpad T14s Gen2i 14" FHD IPS i7-1185G7 32GB 512GB NVMe ujjlolv IR kam gar
- Bomba ár! Lenovo ThinkBook 15 G2 - i5-1135G7 I 16GB I 512GB SSD I 15,6" FHD I Cam I W11 I Gari!
- Bomba ár! Dell Latitude 3520 - i5-1135G7 I 16GB I 256SSD I HDMI 15,6" FHD I Cam I W11 I Garancia!
- Bomba ár! Dell Latitude 5420 - i5-1145G7 I 16GB I 256SSD I HDMI I 14" FHD I Cam I W11 I Garancia!
- Bomba ár! Dell Latitude 5480 - i5-7GEN I 8GB I 128SSD I 14" FHD I HDMI I Cam I W11 I Garancia!
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
- Doxa férfi óra - 166.90.101.20 - D-Sport férfi karóra
- Telefon szerviz helyben - Gyors javítás, akár 30 perc alatt!
- í kilenc! AKCIÓS PRECÍZIÓS KÉSZÜLÉK! 7560 i9-11950H 64GB RAM 1TB SSD Nvidia RTX A3000 6GB 1 év gar
- Jo Nesbo: LEOPÁRD (nem olvasott)
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest