Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Question

[sorry_i_noob]

Здравствуйте! Читаю статью на хабре - "Лучшие практики и рекомендации по защите php-приложений от XSS-атак".
Третье правило из этой статьи гласит так:

Указывайте кодировку на каждой веб-странице.

И там показан пример, где кодировка указывается через header.
И у меня возник вопрос. Если кодировка играет роль в защите от xss. И если ее нужно указывать через header. Зачем ее указывают в мета теге? На том же хабре в head первый метатег - это указание кодировки:

<meta http-equiv="content-type" content="text/html; charset=utf-8">

Answer 1

[Александр]

Её необязательно указывать именно через header(). Её просто обязательно указывать на каждой странице. Каким именно способом - не важно

Comments

[sorry_i_noob]

А если я через мета тег укажу. Ее же любой изменить может? А это плохо. Злоумышленник может изменить на UTF7 и обойти защиту от XSS, разве я не прав?

[Александр]

sorry_i_noob, не сможет. Единственное, что важно при указании кодировки через мета-тег, - это указание мета с кодировкой первым

[sorry_i_noob]

Александр, почему не сможет? Нажать F12 и изменить любой может.

Единственное, что важно при указании кодировки через мета-тег, - это указание мета с кодировкой первым

На htmlbook об этом ничего не сказано. Почему именно первым? Типа чтобы все, что шло дальше этого тега было в этой кодировке? А как же и - все равно они раньше написаны.

[Александр]

Типа чтобы все, что шло дальше этого тега было в этой кодировке?

Да.

А как же и - все равно они раньше написаны.

Что?

[sorry_i_noob]

Александр, ой, теги не вывелись. Как же теги:
<html><head>
И вы не ответили про F12.

[Александр]

sorry_i_noob, на самом деле злоумышленник может и кодировку поменять в мета-теге и сделать что-нибудь ещё для проведения XSS, но это не проблема, так как на сервере все данные, которые присылает пользователь, обязательно проверяются. Создание проверки на стороне сервера - это целиком и полностью задача разработчика

[sorry_i_noob]

Александр, ни разу не слышал, что нужно ПРОВЕРЯТЬ КОДИРОВКУ. даже в той же статье на хабре этого не написано.

[Александр]

sorry_i_noob, я не писал о том, что нужно проверять кодировку, а писал о том, что нужно проверять все данные, которые присылает пользователь. Возможно, я выразился не так, но я имел ввиду следующее...

Допустим, на сайте есть форма со следующими полями:

• Имя;
  
• Фамилия;
  
• Email.
  

Злоумышленник может в каждое из этих полей передать такое значение, которое позволит ему провести атаку, а поэтому значение каждого поля нужно проверять на корректность на сервере и, если потребуется, удалять лишние символы или кодировать\экранировать их. Помимо этого, клиент может подделать некоторые заголовки, отправляемые на сервер, а следовательно, их тоже нужно проверять на корректность.

[sorry_i_noob]

Александр, если злоумышленник может подделать заголовки и изменить кодировку, то функция htmlspecialchars не поможет обезвредить XSS код, который я выгрузил из БД, например (который туда занес пользователь) для вывода на страничке? Как тогда защищаться от XSS?
Проверять кодировку в заголовке, и если она не соответствует нужной, то отказывать пользователю в загрузке страницы / перенаправлять его на другую страницу, например?
Я только начинаю изучать защиту от XSS. Прочитал несколько статей, но про такие тонкости нигде читал. Может, в популярных фреймворках это уже сделано? Поэтому мало кто пишет об этом?

[Александр]

sorry_i_noob, в тех случаях, когда вредоносный код уже проник на сайт, нужно проверить все файлы и базу программой-сканером и очистить от вредоносного кода. А для защиты от XSS нужно проверять на корректность и фильтровать данные от клиента и некоторые заголовки. Кодировку проверять не нужно.

А функция htmlspecialchars предназначена не для этого. Для фильтрации данных следует использовать filter_input и filter_var

Насчёт фреймворков. В них реализована защита от XSS. Но эта защита будет работать только при условии, если вы будете использовать для извлечения данных функции (методы), предоставляемые фреймворком.

[sorry_i_noob]

А функция htmlspecialchars предназначена не для этого.

Александр, мне вот в этом ( Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? ) вопросе отвечали, что htmlspecialchars нужно применять как раз при получении значений из БД, если эти значения дальше попадают в HTML код.

Кодировку проверять не нужно.

А зачем тогда ее вообще указывать на странице (писали в статье на хабре), если ее (кодировку) можно изменить (изменить заголовки)? Если можно изменить, то почему не нужно проверять? Получается, что смысла от того, что я ее указываю нет.

[Александр]

sorry_i_noob, да, правильно.

А кодировку нужно указывать для того чтобы браузер понимал по какому принципу кодируются символы и чтобы пользователь не увидел иероглифы вместо нормальных букв