Potrebbe bloccare lo script nell'url impedire DOM XSS? [chiuso]

-3

Sul mio sito, se dovessi bloccare <script> dall'URL, ciò potrebbe impedire alcuni casi di XSS? In qualche modo qualcuno potrebbe ignorarlo?

    
posta bhatSuhass 11.05.2015 - 21:18
fonte

1 risposta

1

Sì, può essere bypassato. Innanzitutto, molti filtri che tentano di rimuovere i tag <script> lo fanno in un modo che è facilmente sconfitto. Ad esempio, possono gestire in modo errato l'input come <scr<script>ipt> .

Ma anche se implementato "correttamente", ciò non è sufficiente, poiché i tag <script> non sono richiesti per eseguire Javascript su una pagina: possono essere utilizzati anche gestori di eventi, URI di script e URI di dati (notare che io sono incerto sul supporto del browser per gli ultimi due). Vedi la pagina XSS di OWASP per ulteriori informazioni.

E in XSS basato su DOM, potresti non essere affatto preoccupato per HTML, invece di riempire Javascript in un esecuzione affondare .

    
risposta data 12.05.2015 - 05:40
fonte

Leggi altre domande sui tag