IsValid(), bir e-posta adresini doğrulamak veya XSS biçiminden bir URL biçimini korumak için mi kullanıyor? Diğer formatlar belirtildiğinde XSS'yi reddeder mi?IsValid() XSS'den korunuyor mu?
9
A
cevap
10
Geçerli bir URL hala bir saldırı vektörü içerebilir: değil bir XSS saldırısı yukarıda Verilen
<!--- No on CF9 --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123; DROP TABLE Products")#</cfoutput>
<!--- Yes on CF9: hex encoded ';DROP TABLE Products' --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123%3B%20%44%52%4F%50%20%54%41%42%4C%45%20%50%72%6F%64%75%63%74%73")#</cfoutput>
, ancak bunun yerine bir saldırı içeren sütunlar güncelleştirmek için değiştirilebilir.
E-posta doğrulaması, the attacks I could find önlemek için görüntülenir. tamsayılar, SSNs, Uuıdlerin vb kimin yalnızca datatype başına 'dizesi' dir alanlara karşı, ancak .. there's a laundry list of documented potential attacks - Bir genelleme olarak
,isValid()
veri türü sonlu olduğunda XSS saldırılarını önlemeye yardımcı olur. Bu durumda,
isValid()
'un yardımı yoktur, bunun yerine
OWASP's AntiSamy bu amaçla DOM'yi geçip beyaz listeye eklenmemiş herhangi bir şeyi kaldıran kullanışlı bir araçtır. XSS'nin önlenmesi hakkında genel bir çok bilgi içeren
Best regex to catch XSS (Cross-site Scripting) attack (in Java)?.
Ve nihayet nokta, kullanımını uzatmak için:<cfqueryparam cfsqltype="..." value="...">
Güncelleme
Son fakat en az değil, OWASP XSS Cheat Sheet: Orada XSS önlemek için girişin düzenlenmesi için sezgisel algoritmaların en iyi takımı.
İlgili konular
- 1. moment.js isValid işlevi düzgün çalışmıyor
- 2. Özel ValidationAttribute görünümü modelinde IsValid işlev çağrısını kovmuyorum
- 3. NSTimer alt sınıfının geçerli genel varsayısı, 'sadece' soyut sınıf 'için tanımlanmış olan isValid' ile başarısız olur
- 4. Rust, genel türleri siliyor mu, yok mu?
- 5. mu React.js
- 6. ios- Uygulamanız üçüncü taraf içerik barındırıyor mu, görüntüleniyor mu veya erişiyor mu? admob
- 7. ASP.NET MVC AsyncController xxxCompleted
- 8. jFreeChart, Android işletim sisteminde çalışıyor mu/uyumlu mu? 2.x
- 9. Sitem çalışmıyor mu, çalışmıyor mu yoksa bir hata mı var?
- 10. Libxml2 XPath 2.0'ı destekliyor mu, desteklemiyor mu?
- 11. Dosyalar EBS birimine kaydediliyor mu? Saklanmaları gerekmiyor mu? Ben
- 12. SVN - Birleştirme yazarı korur mu ki suçlama doğru olur mu?
- 13. LevelDB java'yı destekliyor mu?
- 14. StreamWriter.flush() yapmam gerekiyor mu?
- 15. LINQ Dizinde çalışıyor mu?
- 16. Python belleği sızıyor mu?
- 17. Node.js Blobları oluşturamıyor mu?
- 18. file_get_contents önbellek kullanıyor mu?
- 19. [email protected] - Çalışıyor mu?
- 20. Firebase Geospatial kullanıyor mu?
- 21. görüntü geliyor mu?
- 22. SCOPE_IDENTITY, asp.net'de çalışmıyor mu?
- 23. QTextEdit çok mu büyük?
- 24. mysqldump komutu çalışmıyor mu?
- 25. jsoup xpath'i destekliyor mu?
- 26. linux limits.conf çalışmıyor mu?
- 27. Capistrano Symlinks Önbellekleniyor mu?
- 28. Xdebug profiler çalışmıyor mu?
- 29. Subversion sıkıştırma içeriyor mu?
- 30. # pragma C'de çalışmıyor mu?