0
私はチャットルームのウェブサイトを行っていますが、現在、ユーザーは希望するものを入力ボックスに入力してすべてのオンラインユーザーに送信できます。しかし、悪意のあるhtml/javascriptコードを送信している悪意のある人がいれば、他のすべてのユーザーを壊すことは安全ではないのではないかと恐れています。チャットルームアプリケーションでの悪質な送信を回避する方法
これを回避するにはどうすればよいですか?
A
答えて
3
誰もがすでに正しいと言いました。すべてのデータをエンコードしてからユーザーに送信する必要があります。
私はちょうどかかわらず、追加したい:あなたが使用しているWebフレームワークが提供する内蔵(したがって、十分にテストされた)の方法で、サーバーにこのエンコーディングを行うことを確認してください。
クライアントでJavaScriptでこれを行うようにしてください。ユーザーが入力できるさらなる悪意のあるコードがあり、JavaScript自体を壊す可能性があります。
そして、はエンコードメカニズム「独自のロール」もブラックリストにあなたが誰かを入力して、それらを置き換えることができる唯一の特定の「悪い」ものを見つけるためにしようとアプローチを、使用しようとしませ試してください。すべての「悪いこと」が何であるかは決して推測できません。
Webフレームワークについては言及していませんが、ほとんどの場合、文字列全体がブラウザに文字どおり表示されるようにHTMLが組み込まれています。内容はです。
1
すべてのHTMLをオペコードに変換することもできます。したがって、<を送信するのではなく、<などを送信します。
このようにして、コードは入力されたとおりに表示されますが、実行しないでください。
2
あなたが送信したいと思う内容をエンコードしてください。たとえば、ユーザーが<と入力した場合、HTMLタグを開始するのではなく、<と表示することをお勧めします。その出力をHTMLページに出力する場合は、<としてエスケープする必要があります。これは、HTMLタグを入力する人々を防ぐという素晴らしい効果をもたらします(HTMLを送信できない場合、scriptタグを送信するのは難しいでしょう)。あなただけの(それほど悪質な出力に対する保護のために)出力が正しい持つことさえエンコードする必要があり
最低限は< =><と& =>&です。私はいつもまた> =>>も徹底していますし、いつか考えるのを助けることができないので、どういうわけか、それは問題になるでしょう。 :-)
1
PHPを使用している場合は、指定したタグは削除されますが、許可する場合はHTMLも許可されます。strip_tags()を使用できます。
+0
'strip_tags()'は彼が望むものではないかもしれません。例えば、時には人々は '
+0
これが彼に当てはまる場合、私はちょうど私の答えを投げた。多分、彼はどんなタグも望んでいないのですが、それは問題ではありませんか?彼がいくつかのタグを必要としている場合でも、正規表現やその他の最小限の余分なコードで属性を取り除くことができます。 –
関連する問題
- 1. Orion Context BrokerからCygnusに悪質なデータを送信
- 2. 回避方法Page Reload再送信 - データメッセージwith PHP
- 3. python/scrapy質問:無限ループを回避する方法
- 4. IE Primefaces Enterキー送信回避策
- 5. 悪意のある要求の脆弱性を回避する方法
- 6. (PHP)phpのMail関数でメールを送信すると、990文字ごとに改行が追加されます。回避方法回避方法
- 7. 複数のao.lockの回避方法を回避するには?
- 8. struts1.1でダブルデータの送信を避ける方法
- 9. GmailのSMTP送信送信制限を回避する/回避するにはどうすればよいですか?
- 10. シンクでSystem.OutOfMemoryExceptionを回避する方法
- 11. AndroidでProgressDialogを回避する方法
- 12. jsfでBusyConversationExceptionを回避する方法
- 13. Androidでセッションタイムアウトを回避する方法
- 14. dbms_metadata.GET_DEPENDENT_DDLでエラーを回避する方法
- 15. シグナルがすでに送信されているpthread_cond_tの待機を回避する方法
- 16. 同じトラックバックを複数回送信する:悪い習慣ですか?
- 17. 回避方法:app:validateSigningDebug?
- 18. ドロップダウンのページポストバックを回避する方法
- 19. ノードのドロップを回避する方法
- 20. ステータスのプログラムを回避する方法
- 21. Oracleのメモリリークを回避する方法
- 22. クレートのデータクエリーを回避する方法
- 23. window.openerのクロスドメインセキュリティを回避する方法
- 24. Apacheのコンテンツスプーフィングを回避する方法
- 25. アンドロイドオートコンプリートのテキストビューでクリック可能なアクションを回避する方法
- 26. メッセージでApplication.onCreateの重大なエラーを回避する方法
- 27. ユーザーモードでスタックオーバーフローの脆弱性を悪用する際にスタックカナリアを回避する方法はありますか?
- 28. バックボーンバックグリッド:ダブルチェンジイベントを回避する方法
- 29. VBA - キャリッジリターンを回避する方法
- 30. IOCコンテナを回避する方法
私はflupを使ってpython cgiを書いています。何か提案はありますか? –