Autor Zpráva
Watchick
Profil
Zdravím,
chtěl bych nějakým způsobem co nejvíce ochránit svůj web proti XSS...
Chápu na čem XSS vlastně bazíruje... Získávání hesel, provádění scriptů tak, aby si klient myslel, že jede o server na kterém právě je...
Našel jsem takový malý popis:
<html> <body>  <form>  <input type="text" name="test">  <input type="submit" value="Odeslat a zobrazit">  <br> <?php if (isset($_GET['test'])) { echo 'Odeslaná hodnota je: ' . $_GET['test']; } ?>  </form> </body> </html> 


Třeba tady jasně chápu že pokud by někdo poslal někomu odkaz:
test.cz/index.php?test=</textarea><script>alert('test');</script>

Tak mu vyskočí okno, s textem "text", samozrejme to je to nejmensi zlo, co se da provest, ale nepochopil jsem jiný způsob "trvalého zůstání scriptu na severu" než odeslání a uložení do databáze... Je ještě jiný způsob? Takže vlastně když někdo někomu pošle takovýto odkaz, heslo to sebere pouze jemu? a ostatní ohroženi nejsou?
Rád bych se naučil principy XSS, abych se proti nim naučil chránit web...

znátě někdo nějakou stránku? rad bych aby tam byly i pripady HTML kodu, protoze z pouhych JS prikazu toho moc nevyctu...

Předem díky Watchick
Bubák
Profil
Takový "minirozcestník".

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: