Anisi

کی از xss clean استفاده کنیم؟

5 پست در این موضوع قرار دارد

ارسال شده در (ویرایش شده)

سلام دوستان

من دارم یک سیستم با فریم‌ورک Codeigniter می‌نویسم، منتها توی یک مسئله‌ای به مشکل برخوردم.

کی باید ورودی کاربر رو با استفاده از xss clean پالایش کنم تا از حمله‌های xss جلوگیری بشه.

هرجی گشتم چیزی دستگبرم نشد.

توی نسخه جدید فریم‌ورکم که نوشته این فیلتر باید موقع نمایش اعمال بشه نه موقع دریافت داده‌ها.

یک جایی هم خوندم اگر با کلاس‌های Active Record داده‌ها رو توی دیتابیس ذخیره کردید دیگه نیاز به این فیلتر نیست.

ممنون می‌شم راهنمایی کنید.

ویرایش شده در توسط Anisi
0

به اشتراک گذاری این پست


لینک به پست

xss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیره

یعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیرید

نکته ی پیچیده ای نداره

مثال این صفحه را تا انتها دنبال کنید

http://www.gregaker.net/2011/mar/30/what-is-xss_clean-in-codeigniter-and-why-should-i-use-it/

3

به اشتراک گذاری این پست


لینک به پست

در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار می‌بردم.

چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.

موفق باشید.

2

به اشتراک گذاری این پست


لینک به پست

ممنون از هردوی شما دوستان

xss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیره

یعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیرید

نکته ی پیچیده ای نداره

مثال این صفحه را تا انتها دنبال کنید

http://www.gregaker....hould-i-use-it/

بله استاد، از کاربردش و نحوه حملات xss کم و بیش آگاهی دارم و لینکی رو هم که دادید مطالعه کرده بودم.

اما طبق چیزایی که خوندم گفتن هرجایی نیاز نیست ازش استفاده بشه. مثلا اگر من قرار باشه اطلاعاتی رو از کاربر بگیرم و توی DB ذخیرش کنم و بعدا همین اطلاعات رو توی فرم مجددا لود کنم یا توی صفحه نمایش بدم، حتما باید xss clean رو روش اعمال کنم؟

در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار می‌بردم.

چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.

با این وجود یعنی شما می‌گید اگر ما قرار هست اطلاعات رو توی دیتابی با Active Record ذخیره کنیم دیگه نیاز نیست از xss clean استفاده کنیم؟

توی نسخه دوم همین‌طور بود و من خودم گزینه global xss clean رو فعال می‌کردم، اما توی نسخه جدید گفته شده از global استفاده نکنید و همینطور توی داکیومنتش هم گفته که این فیلتر باید موقع نمایش به‌کار برده بشه نه موقع ذخیره‌ی اطلاعات.

با این حال من متوجه نمی‌شم چیکار کنم. الآن هر داده‌ای که از فرم با input->post یا input->get می‌گیرم xss clean رو TRUE بکنم یا نیازی نیست؟

0

به اشتراک گذاری این پست


لینک به پست

بستگی به کاربرد داره و باقی کدهاتون

اگر دارید یک سیستم مدیریت محتوی می سازید برای اون بخش که قراره اطلاعت ذخیره شده در سایت چاپ بشند ازش استفاده کنید ولی اگر قراره اطلاعات رو در value فیلدها دوباره نمایش دهید نیازی بهش نیست

1

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری