حمله xss از طریق ckeditor
سلام دوستان
توی blade لاراول html محافظت شده چاپ میشه ولی برای ثبت مقاله توی سایت از ck editor استفاده شده و خروجیش هم html هست
مثل تگ های p ,ul,li
و ما باید این خروجی رو به صورت html نشون بدیم و از اون حالت محافظت شده استفاده نکنیم
{!! $test !!}
که اینطوری میشه
اگر یکی بخواد سوء استفاده بکنه و اسکریپتی رو توی ckeditor وارد کنه چطوری باید ازش محافظت کنیم؟؟
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
این دوتا تگ مثال بود
تگ هایی مثل link، script، style، iframe و applet که میتونن عملکرد و بخش های سایت رو تغییر بدن
یه کاری که میتونی کنی اینکه به جای ساخت یه بلک لیست برای تگ هایی که قراره حذف بشن یه وایت لیست بنویسی. یعنی با همون عبارت های با قاعده بیای یه سیستم طراحی کنی که مثلا فقط تگ های بی خطر مثل p، br, hr و b رو حذف نکنه و هر تگی که جزو این تگ ها نیست رو حذف کنه.
با اینکار دیگه لازم نیست همه تگ های خطرناک رو پیدا کنی و همشونو به بلک لیستت اضافه کنی فقط لازمه تگ های بی خطر که کاربر میتونه استفاده کنه رو قرار بدی و مابقی تگ ها رو حذف کنی
یه راهی که وجود داره اینکه خودت تگ هایی که ممکن مشکل ساز باشن(مثل تگ های script و Link) رو با استفاده از Regular Expressions(عبارات با قاعده) یا راه های دیگه، قبل ثبت اطلاعات تو دیتابیس حذف کنی.
آموزش عبارات با قاعده
این دوتا تگ مثال بود
تگ هایی مثل link، script، style، iframe و applet که میتونن عملکرد و بخش های سایت رو تغییر بدن
یه کاری که میتونی کنی اینکه به جای ساخت یه بلک لیست برای تگ هایی که قراره حذف بشن یه وایت لیست بنویسی. یعنی با همون عبارت های با قاعده بیای یه سیستم طراحی کنی که مثلا فقط تگ های بی خطر مثل p، br, hr و b رو حذف نکنه و هر تگی که جزو این تگ ها نیست رو حذف کنه.
با اینکار دیگه لازم نیست همه تگ های خطرناک رو پیدا کنی و همشونو به بلک لیستت اضافه کنی فقط لازمه تگ های بی خطر که کاربر میتونه استفاده کنه رو قرار بدی و مابقی تگ ها رو حذف کنی