28.03.2012, 12:29
|
|
Профессор
|
|
Регистрация: 07.06.2011
Сообщений: 315
|
|
нашел вот. называется это xss, примитивная защита такая —
string.replace(/&/g, "&").replace(/>/g, ">").replace(/</g, "<").replace(/"/g, """);
гуру, подскажите, какие еще могут быть проблемы и как от них защититься? не говорю о целенаправленных атаках, а просто вот от таких «болванов». |
|
28.03.2012, 12:56
|
 |
сегодня в 12:34|Комментир
|
|
Регистрация: 12.04.2011
Сообщений: 1,180
|
|
|
А почему он у вас вообще выполняется? Он в eval чтоли стоит?
__________________
оляля, ололо
Последний раз редактировалось 9xakep, 28.03.2012 в 12:59.
|
|
28.03.2012, 13:02
|
|
Профессор
|
|
Регистрация: 07.06.2011
Сообщений: 315
|
|
нет, зачем?
$.getJSON('tasks.json', function(data) {
$(data.tasks).each(function(index,value){
if(!value.complete){
$('#taskList').append('<li id="' + value.id + '">' + value.text + ' <input type="button" class="edit" value="edit"><input type="button" class="complete" value="mark complete"></li>');
}
});
});
вставляет в html тэги <script></script>, браузер их исполняет |
|
28.03.2012, 13:11
|
|
сегодня в 12:34|Комментир
|
|
Регистрация: 12.04.2011
Сообщений: 1,180
|
|
|
Стоп...так вы пробовали в таксе написать: { id: "5", text:""alert('1')""... }
__________________
оляля, ололо
|
|
28.03.2012, 14:16
|
|
Профессор
|
|
Регистрация: 07.06.2011
Сообщений: 315
|
|
|
9xakep, всё верно, так не работает. а вот так { id: "5", text:""<script>alert('1')</script>""... } запускается. в общем, решение — это заменить их на ascii коды. только теперь новая проблема — не пойму как их отображать правильно для клиента =)
|
|
28.03.2012, 17:10
|
|
Профессор
|
|
Регистрация: 07.06.2011
Сообщений: 315
|
|
вы, наверное, имели ввиду этот. он в данном контекте не подходит.
через регулярки хорошо получается, но не пойму как их обратно клиенту хтмл кодом отдавать, а не текстом, чтобы красиво было. сам механизм не могу никак понять( |
|
28.03.2012, 17:17
|
|
Аспирант
|
|
Регистрация: 03.02.2011
Сообщений: 80
|
|
|
str.replace(new RegExp("<", "mig"), "<");
|
|
28.03.2012, 18:48
|
|
сегодня в 12:34|Комментир
|
|
Регистрация: 12.04.2011
Сообщений: 1,180
|
|
Ну попробуйте при отправке проверять если в строке: <script> или </script>
<script>
var a = ''<script>asd</script>''
if((/\<script\>/).test(a)) {
a = a.replace(/\<script\>/, '')
a = a.replace(/\<\/script\>/, '')
alert(a)
} else { alert('noscript') }
</script>
===========
Мда...опять тупость сморозил...
__________________
оляля, ололо
Последний раз редактировалось 9xakep, 28.03.2012 в 18:59.
|
|
28.03.2012, 19:07
|
|
Кандидат Javascript-наук
|
|
Регистрация: 16.02.2011
Сообщений: 134
|
|
|
Сообщение от Maxmaxmахimus
|
|
сть специальный тег внутри которого теги парсится не будут, но я его забыл
|
Наверное вы имели в виду plaintext. Но он вроде глючит по всюду, никто не видит закрывающий тег. |
|
28.03.2012, 19:25
|
|
сегодня в 12:34|Комментир
|
|
Регистрация: 12.04.2011
Сообщений: 1,180
|
|
Тогда code еще в добавок
Хотя там не грамотно сказано, код и без этих тегов читаться не будет:
function a() {
alert('')
}
<code><script>alert('a')</script></code>
=============
А скрипт и без этих тегов выполняется..
===========
<plaintext>
<script>
alert('a')
</script>
А вот это уже что-то рабочее(в хроме), в других браузерах не проверял..
__________________
оляля, ололо
Последний раз редактировалось 9xakep, 28.03.2012 в 20:58.
|
|
|
|
