Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 29

Спасибо за статью. Есть ли где-то готовый набор практик и приемов, которые позволяют исключить или уменьшить вероятность получить XSS уязвимость? Это настолько уже обширная тема, что знать все методы XSS атак прикладному программисту просто невозможно. Нужны best practices, которые позволят избежать уязвимостей не вдаваясь в детали их реализации.

PS: К сожалению, судя по количеству комментариев, сообщество не очень интересуется этой темой :(
Всего голосов 1: ↑1 и ↓0+1
Для сообщества тема скорее избита уже с XSS

Проверять на валидность/Парсить/Очищать все входящие и исходящие данные.
Остальное тут.
Всего голосов 1: ↑1 и ↓0+1

Использовать подходы которые исключают вставку "грязных" данных напрямую в разметку.


Например, шаблонизатор Razor (он же ASP.NET WebPages) полностью исключает XSS если не использовать инлайн-скрипты и конструкцию Html.Raw.


Клиентские фреймворки, которые работают с DOM а не с HTML — тоже безопасны (если, опять-таки, не использовать html-биндинги и инлайн-скрипты).

Всего голосов 1: ↑1 и ↓0+1
которые работают с DOM а не с HTML — тоже безопасны


При том что автор привел обратные примеры.
Комментарий пока не оценивали0
если, опять-таки, не использовать html-биндинги и инлайн-скрипты
Комментарий пока не оценивали0
Если делать все корректно — у вас все будет хорошо.
Но всегда есть соблазн сэкономить свое время.
Всего голосов 3: ↑0 и ↓3-3

best-practice — не доверять ничему что приходит от пользователя. Куки, заголовки, данные, файлы. Валидировать и санитизить серверной стороной!!! (Валидация на клиенте — только декоративная, чтобы быстро юзеру подсказать что не так, потому что я могу скриптик ручками поправить и отправить в ваше апи любую каку минуя валидации)

Всего голосов 7: ↑6 и ↓1+5
best-practice — не доверять ничему что приходит от пользователя


Не только от пользователя.
От коллег, библиотеки/пакеты которых вы используете в своих продуктах
Комментарий пока не оценивали0
best-practice — не доверять ничему.
Комментарий пока не оценивали0
Спасибо! Хорошая и актуальная статья. Но, «заэскейпить» — как это?
Комментарий пока не оценивали0

На картинке же показано как.

Комментарий пока не оценивали0
htmlspecialchars (если php)
Комментарий пока не оценивали0
Тэги и их аттрибуты надо фильтровать только по белому списку. После чего дофильтровывать возможные значения.
Всего голосов 1: ↑1 и ↓0+1
Так вот, за свою шутку Сэми получил 3 года.

Английская википедия говорит


but paying a fine of $20,000 USD, serving three years of probation, working 720 hours of community service

Не находите, что "получил 3 года" — это совсем не то же самое, что "три года условно и 720 часов общественных работ"?

Всего голосов 3: ↑3 и ↓0+3
три года условно в России — тоже срок :) Ты не можешь выбрать Путина, не можешь работать на некоторых работах, обязан отмечаться у всяких мерзких товарищей-участковых, итп. Тебя обязательно заставят найти работу (т.е. просто жить фрилансером не получится). А при приёме на работу, пока срок не закончился, тебе нужно писать судимость — и кто тебя таким возьмёт? И ты даже не можешь выехать из России!
Комментарий пока не оценивали0
Не в курсе — не пиши.
Даже реально заключенные, а не условно — имеют право голосовать. Они не могут сами быть избранными.
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
Ну, думаю вы знаете, как голосуют в тюрьмах и армии.

В отличие от остальных граждан, которым лениво свою жопу от дивана оторвать в день голосования — голосуют реально, да.
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
А содержащиеся в психушках так вообще, с песней.
Недееспособные не имеют право голосовать, о грамотей
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
У знакомого сын получил условный срок.Раз в месяц отмечается, официально не работает, и никто его не заставляет устраиваться на работу.Сейчас вот оформляется даже на УДО…
Комментарий пока не оценивали0
ну технически автор не сказал что Сэми получил три года именно тюрьмы так что в чем укор? Тем более три года без интернета, сейчас для многих это наказание было бы худшим кошмаром.
Комментарий пока не оценивали0
По поводу
Vue.js никак нам в этом не помогает. Это должен делать сам разработчик. И вот сейчас, если вы пишете на Vue.js и впервые об этом слышите — у вас уязвимое приложение. Поздравляю.

То v-html применяется специально для вывода сырого html и подразумевается, что это не безопасно давать контроль пользователю над выводимым таким образом значением, вообще v-html используется в крайне редких случаях. Для вывода контента нужно использовать "{{ }}"
ru.vuejs.org/v2/guide/syntax.html#%D0%A1%D1%8B%D1%80%D0%BE%D0%B9-HTML
Всего голосов 2: ↑2 и ↓0+2

Слайдов не хватало, надо было что-то добавить. В любом нормальном шаблонизаторе есть вывод сырого html.

Комментарий пока не оценивали0
Dynamically rendering arbitrary HTML on your website can be very dangerous because it can easily lead to XSS vulnerabilities. Only use HTML interpolation on trusted content and never on user-provided content.

Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь

Предлагаю написать новый js-Фреймворк с защитой от xss!

Всего голосов 1: ↑0 и ↓1-1
# npm i nsp
# npx nsp check
(+) 1 vulnerability found

Name │ hoek

Path │ project@1.0.0 > nsp@3.2.1 > wreck@12.5.1 > hoek@4.2.0

За собой следить не надо :)
Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr