Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Question

sorry_i_noob @sorry_i_noob

XSS

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Здравствуйте! Читаю статью на хабре - "Лучшие практики и рекомендации по защите php-приложений от XSS-атак".
Третье правило из этой статьи гласит так:

Указывайте кодировку на каждой веб-странице.

И там показан пример, где кодировка указывается через header.
И у меня возник вопрос. Если кодировка играет роль в защите от xss. И если ее нужно указывать через header. Зачем ее указывают в мета теге? На том же хабре в head первый метатег - это указание кодировки:

<meta http-equiv="content-type" content="text/html; charset=utf-8">

Вопрос задан более трёх лет назад
138 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 1

12 комментариев

sorry_i_noob @sorry_i_noob Автор вопроса

А если я через мета тег укажу. Ее же любой изменить может? А это плохо. Злоумышленник может изменить на UTF7 и обойти защиту от XSS, разве я не прав?

Написано более трёх лет назад
Александр @zkelo

sorry_i_noob, не сможет. Единственное, что важно при указании кодировки через мета-тег, - это указание мета с кодировкой первым

Написано более трёх лет назад
sorry_i_noob @sorry_i_noob Автор вопроса

Александр, почему не сможет? Нажать F12 и изменить любой может.
Единственное, что важно при указании кодировки через мета-тег, - это указание мета с кодировкой первым

На htmlbook об этом ничего не сказано. Почему именно первым? Типа чтобы все, что шло дальше этого тега было в этой кодировке? А как же и - все равно они раньше написаны.

Написано более трёх лет назад
Александр @zkelo

Типа чтобы все, что шло дальше этого тега было в этой кодировке?

Да.

А как же и - все равно они раньше написаны.

Что?

Написано более трёх лет назад
sorry_i_noob @sorry_i_noob Автор вопроса

Александр, ой, теги не вывелись. Как же теги:
<html><head>
И вы не ответили про F12.

Написано более трёх лет назад
Александр @zkelo

sorry_i_noob, на самом деле злоумышленник может и кодировку поменять в мета-теге и сделать что-нибудь ещё для проведения XSS, но это не проблема, так как на сервере все данные, которые присылает пользователь, обязательно проверяются. Создание проверки на стороне сервера - это целиком и полностью задача разработчика

Написано более трёх лет назад
sorry_i_noob @sorry_i_noob Автор вопроса

Александр, ни разу не слышал, что нужно ПРОВЕРЯТЬ КОДИРОВКУ. даже в той же статье на хабре этого не написано.

Написано более трёх лет назад
Александр @zkelo
sorry_i_noob, я не писал о том, что нужно проверять кодировку, а писал о том, что нужно проверять все данные, которые присылает пользователь. Возможно, я выразился не так, но я имел ввиду следующее...

Допустим, на сайте есть форма со следующими полями:
Имя;
Фамилия;
Email.

Злоумышленник может в каждое из этих полей передать такое значение, которое позволит ему провести атаку, а поэтому значение каждого поля нужно проверять на корректность на сервере и, если потребуется, удалять лишние символы или кодировать\экранировать их. Помимо этого, клиент может подделать некоторые заголовки, отправляемые на сервер, а следовательно, их тоже нужно проверять на корректность.
Написано более трёх лет назад
sorry_i_noob @sorry_i_noob Автор вопроса

Александр, если злоумышленник может подделать заголовки и изменить кодировку, то функция htmlspecialchars не поможет обезвредить XSS код, который я выгрузил из БД, например (который туда занес пользователь) для вывода на страничке? Как тогда защищаться от XSS?
Проверять кодировку в заголовке, и если она не соответствует нужной, то отказывать пользователю в загрузке страницы / перенаправлять его на другую страницу, например?
Я только начинаю изучать защиту от XSS. Прочитал несколько статей, но про такие тонкости нигде читал. Может, в популярных фреймворках это уже сделано? Поэтому мало кто пишет об этом?

Написано более трёх лет назад
Александр @zkelo

sorry_i_noob, в тех случаях, когда вредоносный код уже проник на сайт, нужно проверить все файлы и базу программой-сканером и очистить от вредоносного кода. А для защиты от XSS нужно проверять на корректность и фильтровать данные от клиента и некоторые заголовки. Кодировку проверять не нужно.

А функция htmlspecialchars предназначена не для этого. Для фильтрации данных следует использовать filter_input и filter_var

Насчёт фреймворков. В них реализована защита от XSS. Но эта защита будет работать только при условии, если вы будете использовать для извлечения данных функции (методы), предоставляемые фреймворком.

Написано более трёх лет назад
sorry_i_noob @sorry_i_noob Автор вопроса

А функция htmlspecialchars предназначена не для этого.

Александр, мне вот в этом ( Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? ) вопросе отвечали, что htmlspecialchars нужно применять как раз при получении значений из БД, если эти значения дальше попадают в HTML код.

Кодировку проверять не нужно.

А зачем тогда ее вообще указывать на странице (писали в статье на хабре), если ее (кодировку) можно изменить (изменить заголовки)? Если можно изменить, то почему не нужно проверять? Получается, что смысла от того, что я ее указываю нет.

Написано более трёх лет назад
Александр @zkelo

sorry_i_noob, да, правильно.

А кодировку нужно указывать для того чтобы браузер понимал по какому принципу кодируются символы и чтобы пользователь не увидел иероглифы вместо нормальных букв

Написано более трёх лет назад