|

Как защититься от XSS атаки? Устранить уязвимости скрипта


AliExpress WW

Как защититься от XSS атаки? Устранить уязвимости скрипта

Как защититься от XSS атаки и устранить уязвимость? Думаю, большинство вебмастеров знает, что такое XSS-атака? А вам известно, что в интернете множество сайтов уязвимы или вообще не имеют защиты! А дело всё в том, что много всяких Х- специалистов. Поэтому нужно уделять внимание вопросам безопасности при написании скриптов.

Начнём с того что XSS-атака это когда хакер внедряет в страницу сайта какой-то свой код (HTML, javascript, а иногда даже и PHP). Это может принести вред .

Например:

Очень часто вставка определённого кода осуществляется для рекламы или перенаправления на другой сайт.

С помощью XSS можно возможно выкрасть содержимое файлов cookie посетителей сайтов, в которых могут без проблем храниться пароли.

Помимо взлома и кражи сайта, всегда возможна порча содержимого и дефейс страницы, т.е. изменение внешнего вида.

От XSS уязвимости вас могут защитить две основные функции:

strip_tags() — удаляет из строки все HTML-теги, кроме разрешённых. htmlspecialchars() — заменяет все спецсимволы на их HTML-аналоги (< заменяется на < и т.д.)


В принципе, если проверять переданные пользователем переменные (будь то форма или простой запрос через адресную строку), то этих функций обычно хватает. Однако я бы посоветовал ещё проверять на наличие двоеточия (:), процента (%), слэшей (/ и \), а не только те, что в htmlspecialchars — &, ', ",. Это уже делается функциями с регулярными выражениями — обычно preg_replace.

00:39
[addon]1043[/addon]
Реклама
|
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.