Jak zakodować atrybuty w HTML, aby zapobiec XSS?

Question

Cześć! W celu ochrony przed atakami XXS, chciałbym zakodować atrybuty w HTML. Problem polega ze nie wiem jak to zrobić. Na tej stronie https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html jest co prawda wyjaśnione, ale jest to napisane takim językiem ze nic nie rozumiem. Może mógłby ktoś to wytłumaczyć albo podesłać linka gdzie jest to lepiej wyjaśnione.

Answer 1

Ale chodzi Ci o Twój HTML czy HTML, który user przesyła w jakiś sposób? Bo jeśli Twój, to nie powinieneś tego robić. Natomiast jeśli chodzi o HTML przesyłany przez usera, to zależy od tego, czym przerabiasz ten kod, np. w PHP są odpowiednie biblioteki, w JS jest DOMPurify.

Comments

Klikałes w ten link ? Chodzi mi o tą drugą zasadę żeby ktoś wytłumaczył na czym to polega bo nie bardzo rozumiem. A jaka jest roznica miedzy moim html a html ktory przesyla user ?

---

Tak, kliknąłem.

A jaka jest roznica miedzy moim html a html ktory przesyla user ?

Różnica jest taka, ze Twój HTML jest… cóż, Twój. A to znaczy, że masz nad nim pełną kontrolę i możesz mu ufać. Więc nie ma sensu zabezpieczać się przed czymś, co sam napisałeś.

XSS polega na wstrzyknięciu obcego HTML-a przez usera. Nad takim HTML-em nie masz kontroli, więc musisz go filtrować, żeby user nie zrobił stronie kuku.

---

Jest też w PHP htmlspecialchars(), który zamienia niebezpieczne znaki na encje

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

Poza tym warto też usuwać ze ciągów odwrócone ukośniki

---

W podlinkowanym przeze mnie poradniku PHP jest wyjaśnione, dlaczego zamiast htmlspecialchars należy używać htmlentities:

htmlentities() differs from its cousin htmlspecialchars() in that it encodes all applicable HTML entities, not just a small subset.

 

---

OK. Dzięki za uwagę.