Membres
Services
Stats
- 21 connecté(e)s
- 9902 membres
- 1331 news
- 3610 topics
- 70 articles
- 35 questions
- 146 sites
- St(e) Léa
Proverbes
- Les plats se lisent et les livrent se mangent
- [ Marcel Proust ]
Partenaires
Conférences
XSS à coup de slash
Posté par Philippe Gamache le 14/09/2008 - vu 1204 fois
Christian stocker vient de corriger une attaque XSS se basant sur l'interprétation que font les navigateurs du caractère slash : /. En l'occurrence, il peut être remplacé par un espace quand le navigateur ne sait pas trop quoi en faire. Ce qui signifie que devient effectivement du code HTML valide.
À court terme, la solution est bien de compléter les filtres HTML, mais à plus long terme, comment se prémunir contre ces interprétations bizarres et non documentées?
Passer par la régénération XML du code serait une bonne protection : au lieu d'utiliser les données brutes, elles sont produites par un outil de production XML (dom par exemple), afin de s'assurer que le code HTML final est valide et bien standard.- Source : blog.liip.ch
- Vous devez vous identifier, ou vous enregistrer pour pouvoir poster un nouveau commentaire sur cette news. Devenez membre PHPortail
Imprimer cet article