6
私はPHP関数htmlentities()をXSS攻撃やhtmlspecialcharsなどの関連する関数に対して使用することのセキュリティについて尋ねていました。あなたが明示的に適切なエンコード(例えば:UTF-8)を指定する必要がありますhtmlentities()は弾丸ですか?
おかげでたくさん:)
A
答えて
8
は、クリスも、適切なエンコードせずにhtmlentitiesを呼び出すコードを挿入する方法についての記事がありました。
4
それはあなたに100%を節約することはありません、防弾ではありません。セキュリティに関しては、開発者が責任を負うことを忘れないでください。言語は多くのセキュリティ機能を提供しますが、ホワイトリストアプローチやブラックリストアプローチを使用するかどうかは、開発者自身がサイトをどのように保護するかにかかっています。 htmlentitiesがすべての場合、codeigniter、kohanaなどのフレームワークは、独自の優れたセキュリティ機能を提供していないでしょう。
最も重要なことは、ユーザーからの入力をサニタイズしてフィルタリングすることです。
0
いいえ、htmlspecialcharsおよびhtmlentitiesのような機能は、すべてのクロスサイトスクリプティングの防御にはなりません。これらの機能は助けにはなりませんした
事例は以下のとおりです。
- ザ・サーバ(DOMベースのXSS)に到達していないデータを活用します。
- エクスプロイトデータはHTMLコンテキストでのみ解釈され、これらの関数でエンコードされた特殊文字はnot requiredまたはnot the only ones that are special in the corresponding contextのいずれかです。
特に、後者の理由がしばしば見逃されます。 OWASP’s XSS Prevention Cheat Sheetには、HTML文書で注入が行われる例がたくさんあります。しかし、JavaScriptコードを挿入して実行するためにHTMLの特殊文字を必要とするわけではありません。
関連する問題
- 1. Box2D - 回転銃の弾丸弾丸
- 2. 弾丸チャート
- 3. 削除弾丸
- 4. ユニティ弾丸スポーン
- 5. クリスタルレポートで弾丸リストを作るには?
- 6. プレイヤー、敵と弾丸インタラクション(ゲームデザイン)
- 7. リストの弾丸)\t 2)3)
- 8. 弾丸ボール距離GUI
- 9. マルチプレイヤーゲームの弾丸計算
- 10. トレーサの弾丸の開発
- 11. 弾丸を作る-Cocos2d
- 12. 整列ULの弾丸
- 13. 弾丸は液体を扱うことができますか?
- 14. SKSpriteNodeから弾丸を撃つ
- 15. 私のハイパーリンクテキストは、私のリンク弾丸リスト
- 16. 弾丸アニメーションの作成方法は? (シューティングゲーム)
- 17. 壁に弾丸がどこに影響するかを計算する方法(リアル壁と弾丸)
- 18. 弾丸に衝動を適用する
- 19. 私のpygameプログラムで弾丸が動かないのはなぜですか?
- 20. 私は私が <p>スクリプト</p>弾丸で弾丸スクリプトOnCollisionEnter()メソッドを使用しています弾丸衝突の問題敵</p> <p>持つ弾丸シュート
- 21. Box2dで弾丸時間を実装する方法は?
- 22. Protovisの弾丸のグラフの境界
- 23. 弾丸物理学Broadphase複合体
- 24. ulに弾丸を表示しない
- 25. 垂直配向テキストベースの弾丸
- 26. jQueryスライダ軌道 - 移動中の弾丸
- 27. パワーBI弾丸チャートカスタムビジュアル切り捨てカテゴリラベル
- 28. Internet Explorer 7およびリストの弾丸
- 29. 奇妙な動作インスタント弾丸プレハブ
- 30. 弾丸物理学MultiSphereShapeの使用
ありがとうございました。これはまさに私が探していた証拠のようなものです。私はエンコードの問題を勉強しなければなりません。それについての良い文書がありますか? – fatmatto
Gmailの連絡先xssの実例を読むことをお勧めします。また、下記の記事でダウンロード可能なエクスプロイトを読むことで、安全なコードを書く方法のアイデアが得られます。 http://uneasysilence.com/アーカイブ/ 2007/01/9025/ 便利なチートシートがあります: http://openmya.hacker.jp/hasegawa/security/utf7cs.html –
非常にありがとうございます:D – fatmatto