xss javascript-Schutz
So, ich bin mit der jQuery UI-Bibliothek zum öffnen von neuen Fenstern, wenn die neuen dialog-Fenster geöffnet sind, bin ich vorbei an einigen Parametern, wie dies
<a href="http://www.mysite.com/custompage.html?width=100&height=200¶m1=abc¶m2=http://www.anothersite.com¶m3=custom3">open modal</a>
Die Website funktioniert und keine Probleme überhaupt, meine custompage.html nur nimmt diese Werte, die übergeben wurden, und Sie werden auf der Seite verwendet, so etwas wie dieses:
var a = customfunctionget(param1); var b = customfunctionget(param2)....
Kurzem erhielt ich einen Bericht, wir sind anfällig für Cross-Site-Scripting-Angriffe durch ersetzen von jedem der params mit so etwas wie dies:
><script>alert(123)</script><param
Denen ich richtig verstehe, was passieren soll, aber auf jedem browser, die ich versuche zu injizieren, das Skript der Alarm wird nie angezeigt, so das "Drehbuch/Injektion" nicht bearbeitet wird, die custompage.html funktioniert wie erwartet, da müssen wir die Werte werden richtig eingegeben aber ich kann nichts tun in dieser Hinsicht.
Gibt es eine Magische Pille, die ich hier vermisst? Die meisten XSS-Informationen, dass ich nicht die gleiche Sache, versuchen Sie, um zu injizieren, eine Warnung über einen tag, aber anders als mich zu leugnen, um Inhalte angezeigt, wenn der parameter nicht gut gebildet, ich weiß nicht, was sonst noch getan werden kann.
Alle Empfehlungen, tutorials willkommen.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Eines der einfachsten Dinge, die Sie Kodieren alle
<
,>
, und&
Zeichen mit<
,>
, und&
bzw. Wenn ein browser sieht<something>
denkt es sein ein dom-element. Wenn Sie Kodieren diese Zeichen, die der browser auch tatsächlich angezeigt. Diese Folie wird Menschen, die versuchen, auszuführen<script>badstuff</script>
auf Ihrer Website.Beachten Sie, dass die Menschen nicht in der Lage, Dinge zu tun, wie das hinzufügen
<b>
- tags, um die Dinge, wenn Sie dies tun.Dieser Vorschlag ist ein Erster Schritt, aber ist keineswegs erschöpfend.
Ich gerade hier gefunden, das scheint wie eine guter guide.
<script>bs</script>
es gibt noch nichts, was ich tun kann, bedeutet, dass jeder kann, Quelltext anzeigen, und mein Anker-tag, ersetzen Sie einen der Parameter und drücken Sie die Seite direkt. Ich bin nicht sicher, wie das ist "Schutz" der anderen Seite als gerade Pause, als es Tat, bevor, da die parameter nicht korrekt gebildet%3Cscript%3Ebs%3C%2Fscript%3E
und die browser ignorieren diese "Sicherheit".Es ist alsterrunde () - Funktion in Javascript zu Kodieren Sonderzeichen zu vermeiden, einfügen von scripts