Php: безпека. Що таке xss.
Всім привіт! У цій статті ми розглянемо, що таке XSS-атака і як від неї захиститися.
Що таке XSS?
XSS (Cross Site Scripting) - міжсайтовий скриптинг. За допомогою XSS-вразливостей зазвичай зловмисники крадуть cookies користувачів, використовуючи вставки jаvascript коду. Даний вид атаки практично безпечний для сервера, але дуже небезпечний для користувачів.
Як захиститися від XSS?
Зазвичай подібну уразливість можна знайти в формах або в get запитах. Наприклад, у нас є форма пошуку на сайті. Спробуйте ввести туди подібну команду:
Відео: Як стати Хакером? - Вся правда від Профі
Якщо ви побачите спливаюче вікно з інформацією про cookies, значить форма схильна атаці.
Відео: PHP: основи безпеки сайту. SQL-ін`єкції, XSS-атаки і захист від них
Те ж саме можна зробити і для get запитів. Просто підставте замість потрібного значення вже відому нам команду:
http://site.ru/script?query=
Насправді існують багато різновидів коду, вставляють який в форми або запити можна отримати доступ до інформації на сайті, але нам, як розробникам, важливо не це, а те, як від цієї атаки захиститися. Давайте про це і поговоримо.
Відео: PHP PDO Безпека при роботі з зовнішніми даними
Як захиститися від XSS?
Щоб захиститися від XSS, потрібно просто замінити всі небезпечні символи на безпечні.
$ strainer = array("Lt;","Gt;") -
$ _GET[`Query`]= str_replace($ strainer,"|", $ _GET[`Query`]) -
Щоб використовувати стрейнер для кожного символу, можна написати функцію:
Відео: Основи PHP
function xss_cleaner($ array){
$ strainer = array("Lt;","Gt;") -
foreach($ array as $ num = Gt; $ xss)", $ xss) -
return $ array-
}
$ _REQUEST = xss_cleaner($ _REQUEST) -
Отже, на цьому все. Дякую за увагу!
- Nodejs. Що таке npm.
- Як захиститися від ddos-атак
- Як зробити візуальний редактор на jаvascript
- Nodejs. Що таке query strings.
- Як зробити спливаюче вікно з затемненням
- Що таке обіцянки в es6.
- Що таке ddos атака - суть і походження
- Як зробити гарячі клавіші на сайті
- Nodejs. Як обробляти post запити.
- Виявлена нова уразливість в internet explorer
- Nodejs. Движок v8.
- Відправка post-запитів через jаvascript
- Подія прокрутки коліщатка миші в jаvascript
- Перевірка включений чи jаvascript
- Перевірка форми в jаvascript
- Красива форма з індикатором заповнення.
- Робота з cookie через jаvascript
- Нормальні форми баз даних.
- Валідність jаvascript
- Php: безпека. Зберігання даних в cookies.
- Динамічна перевірка форми на jаvascript