Найти на сайте
  2. Форумы
  3. МАСТЕРСКАЯ
  4. Вопросы безопасности
  5. Фильтр XSS

Фильтр XSS

#1 20 августа 2013 в 02:29
Предисловие)
Необходима была проверка на стороне клиента данных от XSS, писать с нуля не решился, так как не являюсь специалистом в данной области. В сети очень много фильтров, в том числе те которые используют такие проекты как Хабр, но все они либо на php либо на других языках, работающих на стороне сервера. Мне же нужен был тот который будет работать на стороне клиента, т.е. написанный на JS. Поиск был упорный), как оказалось (либо показалось) ) таких фильтров единицы.

Хочу представить один из найденных сообществу для обсуждения (если его прокомментируют специалисты в данной области), а также возможно кому либо из разработчиков пригодится.

Фильтр основывается на белом списке, т.е. то что не разрешено — запрещено.

p.s. Понимаю что подобные фильтры далеко не панацея, но элементарные меры необходимы, интересует мнение о данном фильтре спецов, если такие найдутся, а также может кто подскажет что-то лучшее, написанное на JS.
Прикрепленный файл
filterxss_alvl5.zip 4 Кб
http://watson-studio.com
0
#2 20 августа 2013 в 02:39
Smith, не хочу огорчать, но фильтровать нужно на стороне сервера.
🛠 docs.instantcms.ru
0
#3 20 августа 2013 в 02:40
Бороться с XSS при помощи JS как минимум неразумно.
Что мешает отключить в браузере JS и провести атаку? Или скормить затравку скрипту, который пошлет сформированный запрос?
0
#4 20 августа 2013 в 02:41

Smith, не хочу огорчать, но фильтровать нужно на стороне сервера.

Fuze

Согласен, но в силу особенностей не получается на стороне сервера.
http://watson-studio.com
0
#5 20 августа 2013 в 02:43

Бороться с XSS при помощи JS как минимум неразумно.
Что мешает отключить в браузере JS и провести атаку? Или скормить затравку скрипту, который пошлет сформированный запрос?

stealthdebuger

ничего не мешает, но опять оговорюсь что такие были условия, в моем случае при отключенном js и фильтровать нечего будет. Так что данный вариант отметается.

Вопрос больше был в оценке самого фильтра, а также обмена опытом так сказать именно по данным фильтрам v
http://watson-studio.com
0
#6 20 августа 2013 в 02:55
Хм. Кроме теоретических, какие еще могут быть задачи, у которых нечего фильтровать при отключенном js?

Оценка фильтра — сыроват, хотя задатки весьма неплохие. Актуальная версия здесь github.com/leizongmin/js-xss
0
#7 20 августа 2013 в 03:00
Насчет сырости фильтра, это судя по беглому просмотру или пробовали на уязвимость?!, если второе, хорошо бы увидеть что именно пропускает.
http://watson-studio.com
0
СПАМ на форуме
Апгрейд движка до последней ве
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Похожие темы

Лента событий (addons) XSS

Компоненты Создана 4 года назад 13 сообщений

Фильтрация поля Местоположение. Ошибка

Релизы 2.X Создана 3 года назад 4 сообщения

[ЕСТЬ РЕШЕНИЕ] Фильтр с SEO и описанием

Ищу исполнителя Создана 3 года назад 4 сообщения

Работа фильтра

Ищу исполнителя Создана 3 года назад 10 сообщений

[ЕСТЬ РЕШЕНИЕ] Фильтры в Наборах

Компоненты Создана 3 года назад 11 сообщений

Работа поля список мультивыбор и число в фильтре

Релизы 2.X Создана 2 года назад 3 сообщения

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.