Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Question

sorry_i_noob @sorry_i_noob

Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Здравствуйте. В интернете я читал, что...

Например, страница такого типа http://yourdomain.ru/catalog?p=3 Может оказаться большой дырой в защите сайта.
Подобно действиям проделанным ранее в поле ввода, попробуте подставить в параметр вышеперечисленные строки кода.
http://yourdomain.ru/catalog?p="><script>alert("cookie: "+document.cookie)
Вполне вероятно что вы вновь получите сообщение.

Я попробовал проделать это на своем сайте, но никакого сообщения не получил. И так, нужно ли как-то обрабатывать GET параметры, чтобы защититься от XSS или нет?

Вопрос задан более трёх лет назад
123 просмотра

5 комментариев

Подписаться 1 Простой 5 комментариев

dollar @dollar

Нужно экранировать символы во всех входящих данных от клиента.
Это основы основ.

Написано более трёх лет назад
stratosmi @stratosmi

dollar,
Нужно экранировать символы во всех входящих данных от клиента.
Это основы основ.

Не нужно.
Просто нужно голову включать.
Хотя бы иногда.
В современных инструментах эти вещи экранируются зачастую уже.

Написано более трёх лет назад
dollar @dollar

Смысла это не меняет. Надо экранировать самому или выбирать инструменты, которые делают это за тебя.

Написано более трёх лет назад
snap44 @snap44

dollar, основы основ чего? Что почитать на эту тему? А то сколько всего перечитал и только в одном учебнике по JS натолкнулся на эту тему. Так бы и не слышал никогда про xss

Написано более трёх лет назад
dollar @dollar

snap44, основы основ безопасности сайтов. Где почитать, не знаю, может на хабре. Но экранирование и правда относится к базовым вещам, которые надо знать. Это не только XSS, но и SQL Injection.
Вообще если думать головой, то всех этих названий можно и не знать. Главное, не допускать уязвимостей в своей архитектуре, как бы они ни назывались.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Простой
Как работает спам сообщений в ютубе?
- 1 подписчик
- 11 минут назад
- 10 просмотров
0

ответов
Веб-разработка

Простой
Как сделать чтобы при нажатии на кнопку или сылку в div блоке открывалась галерея?
- 1 подписчик
- 22 часа назад
- 29 просмотров
0

ответов
Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- вчера
- 132 просмотра
3

ответа
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- 22 апр.
- 87 просмотров
1

ответ
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- 21 апр.
- 86 просмотров
3

ответа
Веб-разработка

+1 ещё

Простой
Как реализовать Web-CLI?
- 1 подписчик
- 21 апр.
- 73 просмотра
1

ответ
Веб-разработка

+1 ещё

Средний
Как вывести уведомления в фоновом "WebView"-приложении?
- 1 подписчик
- 21 апр.
- 67 просмотров
2

ответа
Веб-разработка

Простой
Как обойти блокировку просмотра видео?
- 1 подписчик
- 20 апр.
- 105 просмотров
3

ответа
Веб-разработка

Средний
Как отсортировать в ХТМЛ по дате рождения от младшего к старшему, а так же, нумерацию их 1,2,3,4. Чтобы можно было потом добавить еще людей?
- 1 подписчик
- 20 апр.
- 108 просмотров
1

ответ
Веб-разработка

Простой
Не будет ли проблем при использовании хостинга другой страны?
- 1 подписчик
- 18 апр.
- 134 просмотра
2

ответа
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

Разработка дизайна коробки в развернутом виде

24 апр. 2024, в 12:13

2000 руб./за проект

Нужна лендинг страница для telegram канала

24 апр. 2024, в 12:11

1000 руб./за проект

Нужен промт для миджорни

24 апр. 2024, в 12:08

1000 руб./за проект

Нужно экранировать символы во всех входящих данных от клиента.
Это основы основ.
dollar,
Нужно экранировать символы во всех входящих данных от клиента.
Это основы основ.

Не нужно.
Просто нужно голову включать.
Хотя бы иногда.
В современных инструментах эти вещи экранируются зачастую уже.
Смысла это не меняет. Надо экранировать самому или выбирать инструменты, которые делают это за тебя.
dollar, основы основ чего? Что почитать на эту тему? А то сколько всего перечитал и только в одном учебнике по JS натолкнулся на эту тему. Так бы и не слышал никогда про xss
snap44, основы основ безопасности сайтов. Где почитать, не знаю, может на хабре. Но экранирование и правда относится к базовым вещам, которые надо знать. Это не только XSS, но и SQL Injection.
Вообще если думать головой, то всех этих названий можно и не знать. Главное, не допускать уязвимостей в своей архитектуре, как бы они ни назывались.

Answer 1 · 2018-09-08 12:35:39

Защищаться надо если значение этого параметра будет вставляться как есть в html разметку, там Ваш алерт отработает. Если в разметку он не попадет, то он и не отработает. Но нет гарантии, что в процессе разработки кто-то забудет сделать sanitize на Ваш параметр, поэтому об этом надо думать в тот момент когда принимаете данные с формы или отображаете параметры с url.

Нужно ли защищаться от XSS, который вставлен в GET запрос (Я попробовал написать в page значение alert(1), но ничего не произошло)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт