Задать вопрос
sorry_i_noob
@sorry_i_noob
веб-разработка

Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Здравствуйте. В интернете я читал, что...
Например, страница такого типа http://yourdomain.ru/catalog?p=3 Может оказаться большой дырой в защите сайта.
Подобно действиям проделанным ранее в поле ввода, попробуте подставить в параметр вышеперечисленные строки кода.
http://yourdomain.ru/catalog?p="><script>alert("cookie: "+document.cookie)

Вполне вероятно что вы вновь получите сообщение.

Я попробовал проделать это на своем сайте, но никакого сообщения не получил. И так, нужно ли как-то обрабатывать GET параметры, чтобы защититься от XSS или нет?
  • Вопрос задан
  • 123 просмотра
5 комментариев
Подписаться 1 Простой 5 комментариев
Пригласить эксперта
Ответы на вопрос 1
@kttotto
пофиг на чем писать
Защищаться надо если значение этого параметра будет вставляться как есть в html разметку, там Ваш алерт отработает. Если в разметку он не попадет, то он и не отработает. Но нет гарантии, что в процессе разработки кто-то забудет сделать sanitize на Ваш параметр, поэтому об этом надо думать в тот момент когда принимаете данные с формы или отображаете параметры с url.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Fullstack разработчик для веб-проектов
Asphera Tech
от 25 000 ₽
Fullstack разработчик (JavaScript, PHP, SQL), веб программист.
CleanTalk
от 1 800 $
Разработчик Drupal ( программист php 7 )
IT House
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка алгоритма на python (Data engineering)
21 нояб. 2024, в 23:30
300000 руб./за проект
Верстка Flutter + API
21 нояб. 2024, в 22:21
3000 руб./в час
Разработать Custom Speech-to-text Operator на Apache Flink
21 нояб. 2024, в 21:42
100000 руб./за проект
Ещё заказы