Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: ochrona przed xss ale tagi na stronie
Forum PHP.pl > Forum > PHP
zimi
potrzebuję zrobić taką możliwość aby strona była bezpieczna od strony xss ale aby użytkownik mógł edytować swoją stronę wykorzystując html we własnym zakresie

zasadniczo wiem że problem nie jest prosty, tutaj jest kilka metod wstawiania kodu z xss: http://ha.ckers.org/xss.html

i znając życie z każdą wersją przeglądarki pojawi się nowy, zresztą to pewnie i tak nie wszystkie metody

chciałbym jednak aby na stronie mimo możliwości wprowadzania kodu HTML nie pojawił się kod umożliwiający atak xss

najchętniej chciałbym zlokalizować ten kod i usunąć, bądź jeśli o to bardzo trudne/niemożliwe, by skrypt wskazywał zagrożone fragmenty, bądź pomagał w jakiś sensowny sposób w moderacji... wiadomo że nie będzie zabawnie przeglądać wszystkich tagów pod kątem podejrzanych, zamaskowanych sztuczek, których przykłady można obejrzeć na podanej stronie powyżej

ma ktoś jakiś pomysł?
kipero
Pomoże Ci funkcja strip_tags" title="Zobacz w manualu PHP" target="_manual
Ustal jakie znaczniki może użyć w kodzie użytkownik, a reszta zostanie usunięta.
zimi
wg. strony którą podałem wynika że można zrobić nawet taki atak:
Kod
<TABLE BACKGROUND="javascript:alert('XSS')">

i działa to pod IE6.0, Opera 9.02 więc zasadniczo pod każdy tag to można podciągnąć...
przeczytaj listę metod a potem coś zaproponuj...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.