search

XSS Zaafiyetlerinden Korunma

xss zafiyetlerinden korunma için ne yapmalı

1) Girdi (input) validasyonunda RegExarrow-up-right düzenli ifadelerle içerik kontrolü tam XSSarrow-up-right çözümü değil; ama işe yarar.

2) XSS için str.replace ile <,> vb. karakterler için "encodearrow-up-right"lama yapılır.

circle-info

1 ve 2 beraber yapılmalı

OWAP ile birçok dil için bu işi yapan "encoder" kütüphane mevcut. Ayrıca OWASP'ın sitesinearrow-up-right de bakılabilir.

<script> gibi tag'i örneğin %lt;script&gt; şeklinde "encode" yapıldığında tarayıcıda bu <script> olarak gösterilir ve çalıştırılmaz. Google'ın XSS eğitimarrow-up-right sayfasında XSS için aşağıdakiler önerilmiş:

  • Using a template system with context-aware auto-escaping

  • Manually escaping user input (if it’s not possible to use a template system with context-aware auto-escaping)

  • Understanding common browser behaviors that lead to XSS

  • Learning the best practices for your technology

Ayrıca bkz: Blacklist/whitelist yaklaşımı.

PreviousContext MantığıNextYaklaşım

Last updated