createTextNode, HTML enjeksiyonundan ve XSS'den tamamen güvenli midir?

Tek sayfalık bir webapp üzerinde çalışıyorum. Doğrudan DOM düğümleri oluşturarak render yapıyorum. Özellikle, kullanıcı tarafından sağlanan tüm veriler, document.createTextNode("user data") ile metin düğümleri oluşturarak sayfaya eklenir.createTextNode, HTML enjeksiyonundan ve XSS'den tamamen güvenli midir?

Bu yaklaşım, HTML enjeksiyonu, siteler arası komut dosyası oluşturma (XSS) ve kullanıcıların yapabileceği diğer tüm kötü şeylerin olasılığını önler mi?

kaynak

2012-07-25 Brian Reischl

Düz metin düğümü oluşturur, bu yüzden evet, gidebildiği kadar.

Gerektiği her hangi bir kanaldan veri almak için güvensiz bir yöntem kullanarak bir XSS sorunu oluşturmak mümkün olsa da createTextNode.

örn.

document.createTextNode('<?php echo $_GET['xss']; ?>');

... ama tehlike PHP echo değil, JavaScript createTextNode şöyledir: Aşağıdaki güvensiz olurdu.

kaynak

2012-07-25 16:42:44 Quentin

PHP'ye aşina değilim. Bu örnek, kullanıcının başka bir yerden veri talep etmesine ve sayfaya metin olarak eklenmesine izin veriyor mu? –

@breischl - PHP, URL'nin sorgu dizisinden (harici veri olan) girdi alır ve çıkış yapmadan çıkışa bırakır. – Quentin

Ama içinde ne olursa olsun, hala düz metin olarak çıkacaktı, değil mi? Yani, bir metin göstermenin dışında tarayıcıyı bir şey yapamazdınız? –

createTextNode, HTML enjeksiyonundan ve XSS'den tamamen güvenli midir?

cevap

İlgili konular