Anisi 301 ارسال شده در خرداد 94 گزارش بازنشر ارسال شده در خرداد 94 (ویرایش شده) سلام دوستانمن دارم یک سیستم با فریمورک Codeigniter مینویسم، منتها توی یک مسئلهای به مشکل برخوردم.کی باید ورودی کاربر رو با استفاده از xss clean پالایش کنم تا از حملههای xss جلوگیری بشه.هرجی گشتم چیزی دستگبرم نشد.توی نسخه جدید فریمورکم که نوشته این فیلتر باید موقع نمایش اعمال بشه نه موقع دریافت دادهها.یک جایی هم خوندم اگر با کلاسهای Active Record دادهها رو توی دیتابیس ذخیره کردید دیگه نیاز به این فیلتر نیست.ممنون میشم راهنمایی کنید. ویرایش شده خرداد 94 توسط Anisi نقل قول لینک به ارسال
imanfakhar 26231 ارسال شده در خرداد 94 گزارش بازنشر ارسال شده در خرداد 94 xss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیره یعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیرید نکته ی پیچیده ای نداره مثال این صفحه را تا انتها دنبال کنید http://www.gregaker.net/2011/mar/30/what-is-xss_clean-in-codeigniter-and-why-should-i-use-it/ 3 نقل قول لینک به ارسال
Ehsaan 1865 ارسال شده در خرداد 94 گزارش بازنشر ارسال شده در خرداد 94 در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار میبردم.چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.موفق باشید. 2 نقل قول لینک به ارسال
Anisi 301 ارسال شده در خرداد 94 مالک گزارش بازنشر ارسال شده در خرداد 94 ممنون از هردوی شما دوستانxss clean اجازه اجرای اسکریپتها رو از محتویات ارسال شده به سایت می گیرهیعنی اگر فرمی برای دریافت داشته باشید و قرار باشد محتویاتش را در جایی سایت نمایش دهید(مثل بلاگ) و کاربر بجای تکست بیاد یک اسکریپت ارسال کنه با استفاده از xss clean موقع چاپ مطلب جلوی اجرای اسکریپت را می گیریدنکته ی پیچیده ای ندارهمثال این صفحه را تا انتها دنبال کنیدhttp://www.gregaker....hould-i-use-it/بله استاد، از کاربردش و نحوه حملات xss کم و بیش آگاهی دارم و لینکی رو هم که دادید مطالعه کرده بودم.اما طبق چیزایی که خوندم گفتن هرجایی نیاز نیست ازش استفاده بشه. مثلا اگر من قرار باشه اطلاعاتی رو از کاربر بگیرم و توی DB ذخیرش کنم و بعدا همین اطلاعات رو توی فرم مجددا لود کنم یا توی صفحه نمایش بدم، حتما باید xss clean رو روش اعمال کنم؟در پایتون و خود PHP که اصولاً XSS Clean باید توی خود فرم نوشته شده. تاجایی که یادم هست در CodeIgniter البته نسخه دومش هم من در خود فرم به کار میبردم.چیزی که به دیتابیس مربوط میشه؛ SQLi و XSS Javascript هست که خود Active Record همزمان جلوگیری میکنه.با این وجود یعنی شما میگید اگر ما قرار هست اطلاعات رو توی دیتابی با Active Record ذخیره کنیم دیگه نیاز نیست از xss clean استفاده کنیم؟توی نسخه دوم همینطور بود و من خودم گزینه global xss clean رو فعال میکردم، اما توی نسخه جدید گفته شده از global استفاده نکنید و همینطور توی داکیومنتش هم گفته که این فیلتر باید موقع نمایش بهکار برده بشه نه موقع ذخیرهی اطلاعات.با این حال من متوجه نمیشم چیکار کنم. الآن هر دادهای که از فرم با input->post یا input->get میگیرم xss clean رو TRUE بکنم یا نیازی نیست؟ نقل قول لینک به ارسال
imanfakhar 26231 ارسال شده در خرداد 94 گزارش بازنشر ارسال شده در خرداد 94 بستگی به کاربرد داره و باقی کدهاتون اگر دارید یک سیستم مدیریت محتوی می سازید برای اون بخش که قراره اطلاعت ذخیره شده در سایت چاپ بشند ازش استفاده کنید ولی اگر قراره اطلاعات رو در value فیلدها دوباره نمایش دهید نیازی بهش نیست 1 نقل قول لینک به ارسال
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .