Задать вопрос

Как защитить себя от xss?

Доброго времени суток, дорогие хабражители.

Давно назревал вопрос, о безопасности данных со стороны клиента. Естественно их надо как-то проверять, но как и чем? Если ко мне в посте приходит приличный объект с парой вложенных объектов и с десяток свойств, как их проверить? Перебором? Возможно есть какие-нибудь готовые решения виде модулей.

Спасибо, за внимание.
Хорошего настроения!

  • Вопрос задан
  • 3614 просмотров
Подписаться 5 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
Kaaboeld
@Kaaboeld
Web-разработчик

как вариант вот ответ на подобный вопрос.

Ответ написан
Комментировать
pomeo
@pomeo

XSS это ладно, тут был пост http://www.nearform.com/nodecrunch/release-the-kracken-how-paypal-is-being-revolutionized-by-node-js-and-lean-ux и там мелькнула штука под названием Lusca, но гугл ничего не подсказал.

Ответ написан
Комментировать

`Валидаторы и Нормализаторы`. Первое - обычно, для каждой модели у нас отдельный entity (класс) с валидаторами, а так же при получение данных, в пост запросе например, мы их нормализуем - вот похожий ответ.

Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com

RegExp-паттерны (нормализатор и далее валидаторы) на стороне сервера.

Ответ написан
Комментировать
@MrGroovy
Межсайтовый скриптинг, это уязвимость выполняемая на стороне пользователя, различают постоянные и непостоянные XSS. В первом случае, это код который злоумышленнику удается внедрить на страницу и он срабатывает когда, пользователь посещает эту страницу. Непостоянные XXS, это URL-ссылка, которая будет содержать вредоносный код.

Самый простой способ защититься, это очищающие фильтры вводимых данных, например

filter_var($url,FILTER_SANITIZE_SPECIAL_CHARS)

Что касается вашего случая, для начала, я бы рекомендовал сначала установить, какие именно формы для заполнения и отправки данных представляют угрозу. Можно создать SQL-инъекцию или внедрить JavaScrip и своровать Cookie сессию администратора. А можно залить специально сконфигурированный файл с полезной нагрузкой и запустить его по средствам эксплойта в устаревшем ПО.

Для того чтобы найти места на сайте уязвимые к XSS и другим уязвимостям попробуй онлайн сканер типа METASCAN. Он покажет слабые места сайта и их в последствии можно будет "закрыть".
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы