क्या कोई ईमेल पता या यूआरएल प्रारूप को सत्यापित करने के लिए IsValid() का उपयोग कर रहा है? क्या यह अन्य प्रारूपों को निर्दिष्ट करते समय एक्सएसएस को अस्वीकार करता है?क्या IsValid() XSS से रक्षा करता है?
उत्तर
एक मान्य URL अभी भी एक हमले वेक्टर हो सकते हैं:
<!--- No on CF9 --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123; DROP TABLE Products")#</cfoutput>
<!--- Yes on CF9: hex encoded ';DROP TABLE Products' --->
<cfoutput>#isValid("url", "http://www.mydomain.com/products/products.asp?productid=123%3B%20%44%52%4F%50%20%54%41%42%4C%45%20%50%72%6F%64%75%63%74%73")#</cfoutput>
ऊपर दी एक XSS हमला नहीं है, लेकिन यह बजाय एक हमले के साथ कॉलम अद्यतन करने के लिए बदला जा सकता है।
ईमेल सत्यापन the attacks I could find को रोकने के लिए प्रतीत होता है। खेतों जिसका केवल datatype दर असल 'स्ट्रिंग' है के खिलाफ पूर्णांकों, SSNs, UUIDs, आदि .. हालांकि, there's a laundry list of documented potential attacks -
के रूप में सामान्यीकरण, isValid()
XSS हमलों को रोकने जब डेटाप्रकार परिमित है मदद करता है। उस स्थिति में, isValid()
कोई मदद नहीं है, बल्कि OWASP's AntiSamy इस उद्देश्य के लिए एक उपयोगी उपकरण है जो DOM को पार करता है और श्वेतसूची वाले किसी भी चीज़ को हटा देता है।
Best regex to catch XSS (Cross-site Scripting) attack (in Java)? एक्सएसएस रोकथाम के सामान्य विषय पर बहुत उपयोगी जानकारी प्रदान करता है।
और अंत बिंदु, उपयोग बुरी तरह पीटना करने के लिए:
<cfqueryparam cfsqltype="..." value="...">
अद्यतन
अंतिम, लेकिन कम से कम, OWASP XSS Cheat Sheet: बाहर वहाँ इनपुट प्रसंस्करण XSS को रोकने के लिए के लिए heuristics का सबसे अच्छा सेट।
- 1. कैसे sprintf() फिर से एसक्यूएल इंजेक्शन की रक्षा करता है?
- 2. isValid FALSE
- 3. इनपुट यूआरएल है, इसे xss
- 4. XSS हमले
- 5. क्या एडब्ल्यूएस डीडीओएस हमले से मेरी साइट की रक्षा करता है?
- 6. विंडोज़ कर्नेल मोड में संक्रमण की रक्षा कैसे करता है?
- 7. पासवर्ड एक आरईएसटी सेवा की रक्षा करता है?
- 8. स्पष्ट जेसनपी xss भेद्यता
- 9. PHP XSS प्रश्न/स्पष्टीकरण
- 10. ज़ेड दृश्य में xss
- 11. क्या यह कार्य xss पहचान के लिए पर्याप्त है?
- 12. क्या https सुरक्षित कुकीज़ XSS हमलों को रोकती है?
- 13. htaccess पासवर्ड की रक्षा करता है लेकिन स्थानीयहोस्ट पर नहीं
- 14. IsValid (ऑब्जेक्ट वैल्यू) इस वर्ग
- 15. क्रॉस साइट से मेरी स्वयं की रक्षा पटकथा
- 16. क्या कोडइग्निटर में "बार-बार" xss-clean डेटा ठीक है?
- 17. XSS हमले का श्रेय
- 18. नॉकआउट-सत्यापन प्लगइन, विशिष्ट संपत्ति से isValid प्राप्त करें
- 19. एनएसटीमर दुर्घटनाग्रस्त हो जाती है, जब मैं कॉल करता हूं [टाइमर isValid] या [टाइमर अमान्य]
- 20. विरोधी XSS और क्लासिक एएसपी
- 21. क्वेरी स्ट्रिंग्स से जावास्क्रिप्ट/jQuery XSS संभावित पढ़ने
- 22. संगठन मोड: रक्षा जोर
- 23. वेबफोंट की रक्षा कैसे करें
- 24. XSS हमलों को रोकें साइट-व्यापी
- 25. मान्य ईमेल पते - XSS और SQL इंजेक्शन
- 26. डीएलएस की रक्षा कैसे करें?
- 27. डिक्रिप्शन से डिक्रिप्शन कुंजी की रक्षा कैसे करें?
- 28. कैसे एसक्यूएल इंजेक्शन काम करता है और कैसे मैं के खिलाफ की रक्षा करते हैं यह
- 29. सी # == ऑपरेटर विस्तार से क्या करता है?
- 30. @ क्या करता है! मतलब से एक स्टेटमेंट