Javascript.RU

Форум

 Учебник Node.JS скринкаст Стандарт языка

Справочник

Discord чат

  
Статьи Тест знаний Аналоги функций PHP

Курсы javascript

  Сообщения за день

Создать новую тему Ответ
Страница 1 из 2 1 2 >
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 01.11.2017, 11:16
Профессор
Отправить личное сообщение для dima85 Посмотреть профиль Найти все сообщения от dima85 		 
Регистрация: 14.03.2010
Сообщений: 194

XSS и html - безопасно?
Скажите пожалуйста безопасно ли использовать такую конструкцию?

Такой url вроде как проглатывается и alert не вылетает.
/?test=<script>alert('ALARM');</script>text
Код:
 
window.onload = function() {
$("#test").html(window.location.search);
}
 
<span id="test"></span>



На странице я вижу:
<span id="test">%3Cscript%3Ealert(%27ALARM%27);%3C/script%3E!</span>
Последний раз редактировалось dima85, 01.11.2017 в 11:22.
Ответить с цитированием
  #2 (permalink)  
Старый 01.11.2017, 11:28
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas 		 
Регистрация: 14.01.2015
Сообщений: 12,990

dima85,
зачем выводить на страницу параметры поиска?
Ответить с цитированием
  #3 (permalink)  
Старый 01.11.2017, 11:33
Профессор
Отправить личное сообщение для dima85 Посмотреть профиль Найти все сообщения от dima85 		 
Регистрация: 14.03.2010
Сообщений: 194

Меня просто сам факт интересует. Безопасно ли это. Если нет, то каким образом можно вывести alert на страницу и как обезопаситься.
Ответить с цитированием
  #4 (permalink)  
Старый 01.11.2017, 11:45
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas 		 
Регистрация: 14.01.2015
Сообщений: 12,990

Сообщение от dima85
Меня просто сам факт интересует.
Факт чего? Это действие на самой странице и показывает url-кодированный текст. Но параметры поиска для сервера, и не дай бог в этом случае вы выведите то что он получил, то таки "ALARM" вы увидите.
Ответить с цитированием
  #5 (permalink)  
Старый 01.11.2017, 11:54
Профессор
Отправить личное сообщение для dima85 Посмотреть профиль Найти все сообщения от dima85 		 
Регистрация: 14.03.2010
Сообщений: 194

То есть если у меня простая html страничка, без всяких php запросов и скриптов. Такой js код безопасен?
Цитата:
Но параметры поиска для сервера, и не дай бог в этом случае вы выведите то что он получил, то таки "ALARM" вы увидите.
Можете показать какой-то простой пример?
Ответить с цитированием
  #6 (permalink)  
Старый 01.11.2017, 12:01
Профессор
Отправить личное сообщение для Rasy Посмотреть профиль Найти все сообщения от Rasy 		 
Регистрация: 17.06.2016
Сообщений: 509

dima85,
надо алерт выполнить?
Ответить с цитированием
  #7 (permalink)  
Старый 01.11.2017, 12:04
Профессор
Отправить личное сообщение для dima85 Посмотреть профиль Найти все сообщения от dima85 		 
Регистрация: 14.03.2010
Сообщений: 194

@Rasy, надо, пытаюсь разобраться в XSS атаках.
Ответить с цитированием
  #8 (permalink)  
Старый 01.11.2017, 12:12
Профессор
Отправить личное сообщение для Rasy Посмотреть профиль Найти все сообщения от Rasy 		 
Регистрация: 17.06.2016
Сообщений: 509

Сообщение от dima85
без всяких php запросов и скриптов
там атаковать нечего)
Ответить с цитированием
  #9 (permalink)  
Старый 01.11.2017, 12:14
Профессор
Отправить личное сообщение для dima85 Посмотреть профиль Найти все сообщения от dima85 		 
Регистрация: 14.03.2010
Сообщений: 194

Ну а coockie слить например? Есть ведь и другие страницы на сервере.

Мы уходим от вопроса. Как вывести alert на страницу, возможно ли это?
Ответить с цитированием
  #10 (permalink)  
Старый 01.11.2017, 12:18
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas 		 
Регистрация: 14.01.2015
Сообщений: 12,990

Сообщение от dima85
То есть если у меня простая html страничка, без всяких php запросов и скриптов.
У РНР нет запросов, это к нему запросы, и ваша задача контролировать вывод клиенту со стороны сервера. Вот где можно ожидать XSS. Если в этом посте я помещу текст <script>alert('ALARM');</script>, а сервер его необработанный выведет на страницу, то скрипт будет запущен:

//это опасно
echo "<script>alert('ALARM');</script>";
//это безопасно
echo htmlspecialchars("<script>alert('ALARM');</script>");


Ваш код вреда не принесет, но он и бесполезен на все 100.
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >

« ддос сайта на дохлом сервере | Застрял на простом »


Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Диалог между HTML и внешним JS в контексте расширения GoogleChrome ev1lart Events/DOM/Window 0 26.04.2017 19:25
Преобразовать строку в HTML код (обратное htmlspecialchars из php) daslex Общие вопросы Javascript 71 23.08.2015 20:41
Парсинг HTML -> DOM в нормальных браузерах (таки проблема) FINoM Events/DOM/Window 9 19.01.2014 17:38
Типографика и HTML код Manjuriano (X)HTML/CSS 3 23.11.2011 12:22
Передача кода HTML Владимир Седов Общие вопросы Javascript 2 12.04.2011 16:48


© Илья Кантор, 2007-2021 О проекте - Обратная связь - Архив форума - Вверх