XSS и html - безопасно?
 

Скажите пожалуйста безопасно ли использовать такую конструкцию?

Такой url вроде как проглатывается и alert не вылетает.
/?test=<script>alert('ALARM');</script>text

<span id="test"></span>

На странице я вижу:

<span id="test">%3Cscript%3Ealert(%27ALARM%27);%3C/script%3E!</span>

dima85,
зачем выводить на страницу параметры поиска?

Меня просто сам факт интересует. Безопасно ли это. Если нет, то каким образом можно вывести alert на страницу и как обезопаситься.

Факт чего? Это действие на самой странице и показывает url-кодированный текст. Но параметры поиска для сервера, и не дай бог в этом случае вы выведите то что он получил, то таки "ALARM" вы увидите.

То есть если у меня простая html страничка, без всяких php запросов и скриптов. Такой js код безопасен?


Можете показать какой-то простой пример?

dima85,
надо алерт выполнить?

@Rasy, надо, пытаюсь разобраться в XSS атаках. :)

там атаковать нечего)

Ну а coockie слить например? Есть ведь и другие страницы на сервере.

Мы уходим от вопроса. Как вывести alert на страницу, возможно ли это?

У РНР нет запросов, это к нему запросы, и ваша задача контролировать вывод клиенту со стороны сервера. Вот где можно ожидать XSS. Если в этом посте я помещу текст <script>alert('ALARM');</script>, а сервер его необработанный выведет на страницу, то скрипт будет запущен:

//это опасно
echo "<script>alert('ALARM');</script>";
//это безопасно
echo htmlspecialchars("<script>alert('ALARM');</script>");

Ваш код вреда не принесет, но он и бесполезен на все 100.