sorry_i_noob
@sorry_i_noob

Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Здравствуйте. В интернете я читал, что...
Например, страница такого типа http://yourdomain.ru/catalog?p=3 Может оказаться большой дырой в защите сайта.
Подобно действиям проделанным ранее в поле ввода, попробуте подставить в параметр вышеперечисленные строки кода.
http://yourdomain.ru/catalog?p="><script>alert("cookie: "+document.cookie)

Вполне вероятно что вы вновь получите сообщение.

Я попробовал проделать это на своем сайте, но никакого сообщения не получил. И так, нужно ли как-то обрабатывать GET параметры, чтобы защититься от XSS или нет?
  • Вопрос задан
  • 121 просмотр
Пригласить эксперта
Ответы на вопрос 2
@kttotto
все, что .NET
Защищаться надо если значение этого параметра будет вставляться как есть в html разметку, там Ваш алерт отработает. Если в разметку он не попадет, то он и не отработает. Но нет гарантии, что в процессе разработки кто-то забудет сделать sanitize на Ваш параметр, поэтому об этом надо думать в тот момент когда принимаете данные с формы или отображаете параметры с url.
Ответ написан
Комментировать
OnYourLips
@OnYourLips
Защищаться нужно на уровне установки WAF (модули к nginx, например). И это нужно единицам доли процента проектов, для сертификаций.
А на уровне приложения достаточно правильно работать с данными.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы