Задать вопрос
sorry_i_noob
@sorry_i_noob

Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Здравствуйте. В интернете я читал, что...
Например, страница такого типа http://yourdomain.ru/catalog?p=3 Может оказаться большой дырой в защите сайта.
Подобно действиям проделанным ранее в поле ввода, попробуте подставить в параметр вышеперечисленные строки кода.
http://yourdomain.ru/catalog?p="><script>alert("cookie: "+document.cookie)

Вполне вероятно что вы вновь получите сообщение.

Я попробовал проделать это на своем сайте, но никакого сообщения не получил. И так, нужно ли как-то обрабатывать GET параметры, чтобы защититься от XSS или нет?
  • Вопрос задан
  • 123 просмотра
Подписаться 1 Простой 5 комментариев
Пригласить эксперта
Ответы на вопрос 1
@kttotto
пофиг на чем писать
Защищаться надо если значение этого параметра будет вставляться как есть в html разметку, там Ваш алерт отработает. Если в разметку он не попадет, то он и не отработает. Но нет гарантии, что в процессе разработки кто-то забудет сделать sanitize на Ваш параметр, поэтому об этом надо думать в тот момент когда принимаете данные с формы или отображаете параметры с url.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
22 дек. 2024, в 13:01
50000 руб./за проект
22 дек. 2024, в 10:44
15000 руб./за проект
22 дек. 2024, в 10:12
10000 руб./за проект