Me pregunto cuál es el mínimo indispensable para hacer que un sitio seguro desde XSS es.¿Está mi sitio a salvo de XSS si reemplazo todo '<' por '<'?
Si simplemente reemplazo < con < en todo el contenido enviado por el usuario, ¿estará mi sitio a salvo de XSS?
Depende enormemente del contexto.
Además, codificar menos que solo no es tan rápido como una idea. Usted sólo debe codificar todos los caracteres que tienen un significado especial y podrían utilizarse para XSS ...
<>"'&Para una ejemplo trivial de dónde codificar menos de lo que no importará es algo como esto ...
Bienvenido a Dodgy Site. Por favor, enlace a su página de inicio.
usuario malicioso entra ...
http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;
que se hace, obviamente, ...
<a href="http://www.example.com" onclick="window.location = 'http://nasty.com'; return false;">View user's website</a>
Tenía ha codificado comillas dobles, que el ataque no sería válido.
Si escapa a la entrada de todos los usuarios, debe estar seguro.
Eso significa TODO LO QUE APARECE EN TODOS LADOS. Incluso un nombre de usuario en un perfil.
ESPECIALMENTE el nombre de usuario Pueden suceder cosas divertidas cuando un usuario en un sitio web social puede poner JavaScript en su nombre de usuario. Una lista de usuarios se muestra con bastante frecuencia en ese tipo de sitios ... :-) Dicho esto, realmente debería escapar CADA usuario ingresado, o más bien cada entrada no confiable. – paprika
@paprika: Todos se verían afectados por un nombre de usuario ... No pensé en eso. – John
¿De verdad le pusiste a tu hijo el nombre de "Robert")? DROP TABLE Students; - '? – eyelidlessness
No. Tiene que escapar de todas las entradas del usuario, independientemente de lo que contenga.
También hay casos en que la codificación de la página cuenta. Es decir, si el conjunto de caracteres de su página no es correcto o no coincide en todos los espacios aplicables, existen posibles vulnerabilidades. Ver http://openmya.hacker.jp/hasegawa/security/utf7cs.html para más detalles.
Dependiendo del marco que esté utilizando, ahora muchos tienen un módulo de validación de entrada. Una pieza clave que les digo a los estudiantes de software cuando doy conferencias es ¡UTILICE LOS MÓDULOS DE VALIDACIÓN DE LA ENTRADA QUE YA EXISTEN!
reinventar la rueda a menudo es menos efectivo que usar los módulos ya probados que ya existen. .Net tiene la mayor parte de lo que podría necesitar: muy fácil de incluir en la lista blanca (donde sabe la única entrada permitida) o en la lista negra (un poco menos efectivo ya que las cosas "malas" siempre cambian, pero sigue siendo valioso)
+1 para el excelente ejemplo – Yahel
+1 - Buen ejemplo. – Kyle
@alex - ¿Crees que solo la codificación 'less than 'estaría bien si el único lugar en el que alguna vez emití el contenido fuera'
$ outputcontenthere
'? – Kyle