Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Список опасных html-тэгов, для предотвращения инъекции 
:(
    Опции темы
talker
Дата 14.2.2016, 07:54 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Пишу функцию для проверки текста на инъекции. Помогите составить список html-тэгов, через которые можно сделать инъекции. Я немного подумал, погуглил и получилось так:
<script
<iframe
<frame
<applet
<img 
всё с src на сторонний сайт

Какие ещё тэги представляют опасность?
PM MAIL   Вверх
ksnk
Дата 14.2.2016, 11:55 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 7
Всего: 386
script - тоже только с src на сторонний сайт? Еще и внутренность скрипта должна быть пустой, иначе можно разного наворотить .

Какая задача решается? Сообщения в гостевую фильтруются?


--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
Envy
Дата 15.2.2016, 13:58 (ссылка) | (голосов: 0) Загрузка ... Загрузка ... Быстрая цитата Цитата


Unregistered
Защищаться разрешающими фильтрами - безблагодатно. Простым незакрытым <div> можно поломать верстку, например.
Проще и надежнее будет проверять на разрешенные теги, а не на запрещенные. Или вообще экранировать спецсимволы.

И да, было бы проще ответить, если бы мы знали задачу.

Этот ответ добавлен с нового Винграда - http://vingrad.com
  Вверх
talker
Дата 17.2.2016, 08:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 76
Регистрация: 5.5.2008

Репутация: нет
Всего: нет
Цитата(ksnk @  14.2.2016,  11:55 Найти цитируемый пост)
Какая задача решается? 

Аудит безопасности. Проверка существующего контента сайта на наличие инъекций и предотвращение инъекций в будущем. Не было ограничений на html-тэги, поэтому неизвестно, кто и что мог внести в базу. 

Цитата(Envy @  15.2.2016,  13:58 Найти цитируемый пост)
Защищаться разрешающими фильтрами - безблагодатно. Простым незакрытым <div> можно поломать верстку, например.

Согласен, подумаю над этим. 
PM MAIL   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Алгоритмы"

maxim1000

Форум "Алгоритмы" предназначен для обсуждения вопросов, связанных только с алгоритмами и структурами данных, без привязки к конкретному языку программирования и/или программному продукту.

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, maxim1000.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Алгоритмы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0768 ]   [ Использовано запросов: 20 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.