رفتن به مطلب

کی از xss clean استفاده کنیم؟


پست های پیشنهاد شده

سلام دوستان

من دارم یک سیستم با فریم‌ورک Codeigniter می‌نویسم، منتها توی یک مسئله‌ای به مشکل برخوردم.

کی باید ورودی کاربر رو با استفاده از xss clean پالایش کنم تا از حمله‌های xss جلوگیری بشه.

هرجی گشتم چیزی دستگبرم نشد.

توی نسخه جدید فریم‌ورکم که نوشته این فیلتر باید موقع نمایش اعمال بشه نه موقع دریافت داده‌ها.

یک جایی هم خوندم اگر با کلاس‌های Active Record داده‌ها رو توی دیتابیس ذخیره کردید دیگه نیاز به این فیلتر نیست.

ممنون می‌شم راهنمایی کنید.

ویرایش شده توسط Anisi
لینک به ارسال

xss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیره

یعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیرید

نکته ی پیچیده ای نداره

مثال این صفحه را تا انتها دنبال کنید

http://www.gregaker.net/2011/mar/30/what-is-xss_clean-in-codeigniter-and-why-should-i-use-it/

لینک به ارسال

در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار می‌بردم.

چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.

موفق باشید.

لینک به ارسال

ممنون از هردوی شما دوستان

xss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیره

یعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیرید

نکته ی پیچیده ای نداره

مثال این صفحه را تا انتها دنبال کنید

http://www.gregaker....hould-i-use-it/

بله استاد، از کاربردش و نحوه حملات xss کم و بیش آگاهی دارم و لینکی رو هم که دادید مطالعه کرده بودم.

اما طبق چیزایی که خوندم گفتن هرجایی نیاز نیست ازش استفاده بشه. مثلا اگر من قرار باشه اطلاعاتی رو از کاربر بگیرم و توی DB ذخیرش کنم و بعدا همین اطلاعات رو توی فرم مجددا لود کنم یا توی صفحه نمایش بدم، حتما باید xss clean رو روش اعمال کنم؟

در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار می‌بردم.

چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.

با این وجود یعنی شما می‌گید اگر ما قرار هست اطلاعات رو توی دیتابی با Active Record ذخیره کنیم دیگه نیاز نیست از xss clean استفاده کنیم؟

توی نسخه دوم همین‌طور بود و من خودم گزینه global xss clean رو فعال می‌کردم، اما توی نسخه جدید گفته شده از global استفاده نکنید و همینطور توی داکیومنتش هم گفته که این فیلتر باید موقع نمایش به‌کار برده بشه نه موقع ذخیره‌ی اطلاعات.

با این حال من متوجه نمی‌شم چیکار کنم. الآن هر داده‌ای که از فرم با input->post یا input->get می‌گیرم xss clean رو TRUE بکنم یا نیازی نیست؟

لینک به ارسال

بستگی به کاربرد داره و باقی کدهاتون

اگر دارید یک سیستم مدیریت محتوی می سازید برای اون بخش که قراره اطلاعت ذخیره شده در سایت چاپ بشند ازش استفاده کنید ولی اگر قراره اطلاعات رو در value فیلدها دوباره نمایش دهید نیازی بهش نیست

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...