Please enable JavaScript.

Coggle requires JavaScript to display documents.

XSS (metody obrony (encoding (kodowanie wszystkich znaków…

- - - - corner cases w czyszczeniu DOM na własną rękę
        
        ciekawostka: w wyr. reg. znak kropki zastępuje każdy znak z wyjątkiem znaku nowej linii, toteż lepiej nie brać się za czyszczenie DOM samemu i skorzystać z gotowej bibioteki
        
        znaki nawiasów ( i ) nie muszą być stricte użycie w kodzie, mogąbyć zastąpione swoimi odpowiednikami w innym kodowaniu np. \x28 oraz \x29 albo &lpar oraz &rpar
        
        zakładanie że pewne wyrażenia muszą kończyć się spacją lub cudzysłowem, podczas gdy wystarczy je usunąć
      - czyszczenie DOM z niedopuszczlanych tagów wprowadzonych przez okienka do dodawania postów i zarazem mocnej ich customizacji, pomocne narzędzia: DOMPurifier, HTMLSanitizer etc
  - - - eval, setTimeOut, Function
    - - innerHTML, outerHTML, document.write, insertAdjacentHTML
  - - - aktualnie przeglądarki same blokują ataki reflected XSS dzięki wbudowanym mechanizmom; można dodać nagłówek
        który całkowicie zablokuje renderowanie strony;
        należy używać go jednak w ostaateczności gdyż niektóre przeglądarki go nie wspierająlub decydują się na odejście od niego; pokazano też wiele jego obejść i jest raczej odradzany