belirli bir sayfası için Javascript devre dışı bırakmak için herhangi bir HTTP-başlığı var mı? Web sitem, kullanıcı tarafından oluşturulan HTML içeriğini sunuyor (bu yüzden sadece htmlenitities kullanamıyorum) ve komut dosyası oluşturmayı (JavaScript enjeksiyonları) önlemek istiyorum. kullanıcı içeriği yalnızca çerez okunamaz alt alanlara görüntülenirkendevre dışı bırakın JavaScript yürütme
Zaten, sadece ana etki alanında HttpOnly-cookies kimlik doğrulaması için ayarlanan kullanın. sorun JavaScript çalıştırmak çok fazla olasılık hala var olmasıdır - örneğin olayı onclick gibi özellikleri kullanılarak ve Internet Explorer JavaScript infaz Daha önce hiç duymamış (expression) izin vermek CSS bile bir özelliği vardır. Okuduğum bir başka ilginç fikir, aşağıdaki kodu engellemek için bir istisna atmaktı. İzin verilen tüm etiketleri içeren bir listeyi ve ek olarak her izin verilen öznitelik adına sahip bir dizi tanımlamak bir fikir olabilir, ancak bu çok zor bir iştir ve sanırım bu tüm olası enjeksiyonları kapsamaz.
Bu problemi yaşayan tek kişi ben değilim, bu yüzden en azından modern tarayıcılarda tüm olası zararlı kodu kapsayan bir olasılık biliyor musunuz? hayat çok daha kolay yapar X-Scripting: disabled benzer
Basit hayali başlık!
Hiç "script" etiketlerini ve kullanıcı girdisindeki belirli öznitelikleri engellemeyi düşündünüz mü? –
Ben kastettiğim şey buydu: "İzin verilen tüm etiketler ve ek olarak her izin verilen özellik adında bir dizi içeren bir listeyi tanımlamak bir fikir olabilir ama bu çok zor bir çalışmadır ve sanırım bu tüm olası enjeksiyonları kapsamaz." (Yani örneğin "div" veya "yayılma" gibi zararsız etiketlerine izin ve "onclick", "onmouseover", ancak bu tüm enjeksiyonları kapak olmaz gibi özelliklerini devre dışı olur tarayıcılar farklı, tarayıcıya özel nitelik ve özelliklerini beri) –