Hirdetés
- Poco X8 Pro Max - nem kell ide sem bank, sem akkubank
- Google Pixel topik
- Milyen okostelefont vegyek?
- Itt a Galaxy S26 széria: az Ultra fejlődött, a másik kettő alig
- Poco F8 Ultra – forrónaci
- Szívós, szép és kitartó az új OnePlus óra
- Ennyit szűkít az X300 Ultra a telepen Európában
- Nincs Nothing AI szemüveg? Fogd meg a söröm!
- Stílussal és friss szenzorokkal futott be a Huawei Watch GT 5
- Xiaomi 15T Pro - a téma nincs lezárva
Új hozzászólás Aktív témák
-
Taci
addikt
Eljutottam oda, hogy az XSS elleni védelemmel is foglalkozni tudjak. Mivel egyelőre csak 1 user inputos rész van a weblapon, ez pedig a kereső, a kliens oldali része miatt a Javascript-topikba írtam.
Viszont aztán beugrott, hogy mivel RSS-csatornák tartalmával dolgozom, kvázi azok is külső források, amikből származó tartalmat ugyanúgy fenntartásokkal kell kezelnem. Hiszen ha a külső forrást támadják, és mondjuk átírják kártékony kóddal az RSS tartalmát, akkor ha ellenőrzés nélkül tárolom és használom az onnan származó adatokat, akkor azzal én is "fertőződöm".
Ennek szeretnék így hát elébe menni.
Ezeket az adatot szúrom be (jelen pillanatban ellenőrzés nélkül) a HTML kódba, ami ezekből a külső RSS forrásokból származik:
- cikkhez tartozó link
- képhez tartozó link
- cikk címe, leírásaItt ugye pl. az <img> tagnél lehet máris probléma, amit egyből reprodukálni is tudtam, mert ha az
<img src="után egy eltérített "link" kerül be (pl.:http://url.to.file.which/not.exist" onerror="alert('Hacked!')"), akkor máris bajban vagyok.
És ez ugyanúgy igaz lehet millió másik tagre, képnél, szövegnél, az összes ponton, ahova csak beszúrom ezeket a tartalmakat a HTML kódban.Van esetleg bevált megoldásotok ennek a problémának a kezelésére?
Így első keresésre ezt találtam: Sanitize filtersOlyasmi (talán-)megoldást tudok saját kútfőből, hogy csinálok egy funkciót, ahol az érintett adatokat átszűröm, és kiszedem belőle az összes lehetséges HTML tag-et és event-et. Ez egy hosszú lista lesz, viszont mivel egyik adatban (cikkhez tartozó link, képhez tartozó link, cikk címe, cikk leírása) sem szerepelhet ilyen (illetve leírásban már találtam, de az már ki van szedve), ezért ez talán egy jó módszer lehet.
Aztán olyanra is gondoltam, hogy ha az előbbi ("Hacked") példát nézem, hogy ott (<img src-nál) arra játszanak, hogy maguk rakják a záró idézőjelet (" vagy ' is lehet, gondolom), és utána a saját kódjukat hívják valamilyen event mögé pakolva. Így ha találok egy (elvileg csak) linkben " vagy ' karaktert, akkor azzal kezdődően levágom, és kész.
De ezek ilyen első gondolatos megoldási kísérletek. Ha van esetleg bevált megoldás rá, akkor nem pazarolnám erre az időt.
Köszönöm.
Új hozzászólás Aktív témák
- Otthoni hálózat és internet megosztás
- Milyen program, ami...?
- Android játékok topikja
- Természetfeletti erő? Acer Nitro V 16 AI notebook Gorgon Pointtal
- Fejhallgató erősítő és DAC topik
- Autós topik
- Egyre több tényező hajtja felfelé az árakat, és hol van még a vége?
- Kertészet, mezőgazdaság topik
- LEGO klub
- sziku69: Szólánc.
- További aktív témák...
- Xiaomi Redmi Note 8 Pro 64GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 12 64GB, Kártyafüggetlen, 1 Év Garanciával
- Apple iPhone 13 Pro Max 128GB, Kártyafüggetlen, 1 Év Garanciával
- LG SN8Y 5.1.2 Dolby Atmos soundbar MERIDIAN technológiával hangprojektor
- Apple iPhone 13 128GB, Kártyafüggetlen, 1 Év Garanciával
- Számítógép javítás Budapest Laptop szerviz WiFi és router beállítás
- iPhone 11 Pro 64GB 100% (3 hónap garancia)
- Samsung Galaxy A12 64GB, Kártyafüggetlen, 1 Év Garanciácal
- iPhone 11 64GB White -1 ÉV GARANCIA - Kártyafüggetlen, MS4305, 100% Akksi
- Apple iPhone 17e 256GB Bontatlan Független Összes Szín / 27% áfás ár INGYENES SZÁLLÍTÁS
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest