XSS Zaafiyetlerinden Korunma
xss zafiyetlerinden korunma için ne yapmalı
1) Girdi (input) validasyonunda RegEx düzenli ifadelerle içerik kontrolü tam XSS çözümü değil; ama işe yarar.
2) XSS için str.replace ile <,> vb. karakterler için "encode"lama yapılır.
1 ve 2 beraber yapılmalı
OWAP ile birçok dil için bu işi yapan "encoder" kütüphane mevcut. Ayrıca OWASP'ın sitesine de bakılabilir.
<script> gibi tag'i örneğin %lt;script> şeklinde "encode" yapıldığında tarayıcıda bu <script> olarak gösterilir ve çalıştırılmaz. Google'ın XSS eğitim sayfasında XSS için aşağıdakiler önerilmiş:
Using a template system with context-aware auto-escaping
Manually escaping user input (if it’s not possible to use a template system with context-aware auto-escaping)
Understanding common browser behaviors that lead to XSS
Learning the best practices for your technology
Ayrıca bkz: Blacklist/whitelist yaklaşımı.
Last updated
Was this helpful?