Ashkan.amjadi8412
3 سال پیش توسط Ashkan.amjadi8412 مطرح شد
3 پاسخ

حمله xss از طریق ckeditor

سلام دوستان
توی blade لاراول html محافظت شده چاپ میشه ولی برای ثبت مقاله توی سایت از ck editor استفاده شده و خروجیش هم html هست
مثل تگ های p ,ul,li
و ما باید این خروجی رو به صورت html نشون بدیم و از اون حالت محافظت شده استفاده نکنیم
{!! $test !!}
که اینطوری میشه
اگر یکی بخواد سوء استفاده بکنه و اسکریپتی رو توی ckeditor وارد کنه چطوری باید ازش محافظت کنیم؟؟


ثبت پرسش جدید
ASPgo
تخصص : HTML، CSS، PHP و JS، طراح قالب...
@asp.gosk 2 سال پیش مطرح شد
0

این دوتا تگ مثال بود
تگ هایی مثل link، script، style، iframe و applet که میتونن عملکرد و بخش های سایت رو تغییر بدن
یه کاری که میتونی کنی اینکه به جای ساخت یه بلک لیست برای تگ هایی که قراره حذف بشن یه وایت لیست بنویسی. یعنی با همون عبارت های با قاعده بیای یه سیستم طراحی کنی که مثلا فقط تگ های بی خطر مثل p، br, hr و b رو حذف نکنه و هر تگی که جزو این تگ ها نیست رو حذف کنه.
با اینکار دیگه لازم نیست همه تگ های خطرناک رو پیدا کنی و همشونو به بلک لیستت اضافه کنی فقط لازمه تگ های بی خطر که کاربر میتونه استفاده کنه رو قرار بدی و مابقی تگ ها رو حذف کنی


ASPgo
تخصص : HTML، CSS، PHP و JS، طراح قالب...
@asp.gosk 3 سال پیش آپدیت شد
2

یه راهی که وجود داره اینکه خودت تگ هایی که ممکن مشکل ساز باشن(مثل تگ های script و Link) رو با استفاده از Regular Expressions(عبارات با قاعده) یا راه های دیگه، قبل ثبت اطلاعات تو دیتابیس حذف کنی.
آموزش عبارات با قاعده


Ashkan.amjadi8412
تخصص : برنامه نویسی وب و طراحی وب
@ashkanamjadi8412 2 سال پیش مطرح شد
0

یعنی فقط link و script باعث حمله میشه موارد دیگه ای ممکن نیست وجود داشته باشه؟


ASPgo
تخصص : HTML، CSS، PHP و JS، طراح قالب...
@asp.gosk 2 سال پیش مطرح شد
0

این دوتا تگ مثال بود
تگ هایی مثل link، script، style، iframe و applet که میتونن عملکرد و بخش های سایت رو تغییر بدن
یه کاری که میتونی کنی اینکه به جای ساخت یه بلک لیست برای تگ هایی که قراره حذف بشن یه وایت لیست بنویسی. یعنی با همون عبارت های با قاعده بیای یه سیستم طراحی کنی که مثلا فقط تگ های بی خطر مثل p، br, hr و b رو حذف نکنه و هر تگی که جزو این تگ ها نیست رو حذف کنه.
با اینکار دیگه لازم نیست همه تگ های خطرناک رو پیدا کنی و همشونو به بلک لیستت اضافه کنی فقط لازمه تگ های بی خطر که کاربر میتونه استفاده کنه رو قرار بدی و مابقی تگ ها رو حذف کنی


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام