Как верно защититься от xss?

Question

[komarevtsev]

Добрый день. Прочитал множество статей о защите от xss, но везде рассматриваются конкретные случаи, нет какой-то фундаментальной статьи, описывающей абсолютно все возможности для атаки. Ситуация выглядит так, как-будто все знают как писать защиту, но никто не делится)
Дайте линк на такую статью, если я не прав :)
Спасибо

Comments

[Александр Шаповал]

Почему не делятся? Делятся, и я с вами поделюсь, вот: никогда не доверяйте тому что передает пользователь, это все что нужно знать, видите, и статей никаких не нужно.

Answer 1

[Max Kostikov]

Используйте заголовки безопасности HTTP
https://kostikov.co/post/zagolovki-http-i-bezopasn...

Answer 2

[Stalker_RED]

Универсальной таблетки нет. Есть общие принципы, которые и показывают обычно на примерах, которые вы критикуете.
Если совсем грубо: фильтруйте и проверяйте данные, которым не доверяете.
Дальше только частности и примеры, но они же вам не нравятся.

Comments

[komarevtsev]

Если запретить юзерам ввод любого кода, html тегов и т.д.
то как должна выглядеть защита? получается, что как таковых белых списков не будет

[Александр]

komarevtsev: https://github.com/ezyang/htmlpurifier

[Stalker_RED]

komarevtsev: Если пользователь вообще ничего не вводит - вы защищены от XSS.

Answer 3

[Александр]

Посмотри как сделано в хороший фреймворках. Входные данные пропускаешь через валидаторы, выходные через purifier, запросы к базе, через prepared.