Все мы знаем о таком типе атаки как XSS (о их видах и способах применения было написано много), все мы знаем какую опасность может нанести такая атака, а также о том, что всегда нужно проверять входящие данные на наличие XSS — об этом пишут везде.
Но о том, чем именно и как именно защититься – информации практически нет.
Я веб-разработчик, который создал собственную СMS на основе которой и создаю сайты (почему я изобрел велосипед? – это не тема для данного обсуждения), проделав детальный анализ понял, что защита откровенно слабая и попытался найти решение проблемы. Нашел большой детальный сборник возможных вариантов XSS атак — это будут тестовые атаки, которые должны фильтроваться.
Результатом поисков и тестирования определил для себя что полностью справился с поставлено задачей – только HTML Purifier. Библиотека фильтров написана на PHP с огромными возможностям конфигураций.
Все в этой библиотеке отлично, кроме одного момента – в работе библиотека использует 4.2Mb памяти, что, по моему мнению, слишком много.
Остальные претенденты или не справились полностью со всеми тестами, или устарели настолько, что на них остались только нерабочие ссылки.
Я понимаю, что данный фильтр будет запускаться редко (исключительно для проверки входящих данных от потенциально опасных посетителей), но в силу собственных убеждений стараюсь все совершенствовать максимально.
Возможно, кто-то владеет информацией о лучшем и более оптимизированном фильтре?
Не проблема, если он написан на другом языке.
В идеале разыскивается простая и быстрая функция, которая могла бы четко выполнить фильтрацию XSS атак.
Но о том, чем именно и как именно защититься – информации практически нет.
Я веб-разработчик, который создал собственную СMS на основе которой и создаю сайты (почему я изобрел велосипед? – это не тема для данного обсуждения), проделав детальный анализ понял, что защита откровенно слабая и попытался найти решение проблемы. Нашел большой детальный сборник возможных вариантов XSS атак — это будут тестовые атаки, которые должны фильтроваться.
Результатом поисков и тестирования определил для себя что полностью справился с поставлено задачей – только HTML Purifier. Библиотека фильтров написана на PHP с огромными возможностям конфигураций.
Все в этой библиотеке отлично, кроме одного момента – в работе библиотека использует 4.2Mb памяти, что, по моему мнению, слишком много.
Остальные претенденты или не справились полностью со всеми тестами, или устарели настолько, что на них остались только нерабочие ссылки.
Я понимаю, что данный фильтр будет запускаться редко (исключительно для проверки входящих данных от потенциально опасных посетителей), но в силу собственных убеждений стараюсь все совершенствовать максимально.
Возможно, кто-то владеет информацией о лучшем и более оптимизированном фильтре?
Не проблема, если он написан на другом языке.
В идеале разыскивается простая и быстрая функция, которая могла бы четко выполнить фильтрацию XSS атак.