Фильтр XSS

 
Посетитель
small user social cms
Медаль
Сообщений: 266
Предисловие)
Необходима была проверка на стороне клиента данных от XSS, писать с нуля не решился, так как не являюсь специалистом в данной области. В сети очень много фильтров, в том числе те которые используют такие проекты как Хабр, но все они либо на php либо на других языках, работающих на стороне сервера. Мне же нужен был тот который будет работать на стороне клиента, т.е. написанный на JS. Поиск был упорный), как оказалось (либо показалось) ) таких фильтров единицы.

Хочу представить один из найденных сообществу для обсуждения (если его прокомментируют специалисты в данной области), а также возможно кому либо из разработчиков пригодится.

Фильтр основывается на белом списке, т.е. то что не разрешено - запрещено.

p.s. Понимаю что подобные фильтры далеко не панацея, но элементарные меры необходимы, интересует мнение о данном фильтре спецов, если такие найдутся, а также может кто подскажет что-то лучшее, написанное на JS.
Прикрепленные файлы:
filterxss_alvl5.zip | 3.71 Кб | Скачали: 404
http://watson-studio.com
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4388
Smith, не хочу огорчать, но фильтровать нужно на стороне сервера.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Реклама
cms
Посетитель
small user social cms
Медаль
Сообщений: 366
Бороться с XSS при помощи JS как минимум неразумно.
Что мешает отключить в браузере JS и провести атаку? Или скормить затравку скрипту, который пошлет сформированный запрос?
Посетитель
small user social cms
Медаль
Сообщений: 266
Fuze:
Smith, не хочу огорчать, но фильтровать нужно на стороне сервера.

Согласен, но в силу особенностей не получается на стороне сервера.
http://watson-studio.com
Посетитель
small user social cms
Медаль
Сообщений: 266
stealthdebuger:
Бороться с XSS при помощи JS как минимум неразумно.
Что мешает отключить в браузере JS и провести атаку? Или скормить затравку скрипту, который пошлет сформированный запрос?

ничего не мешает, но опять оговорюсь что такие были условия, в моем случае при отключенном js и фильтровать нечего будет. Так что данный вариант отметается.

Вопрос больше был в оценке самого фильтра, а также обмена опытом так сказать именно по данным фильтрам v
Редактировалось: 1 раз (Последний: 20 августа 2013 в 02:47)
http://watson-studio.com
Посетитель
small user social cms
Медаль
Сообщений: 366
Хм. Кроме теоретических, какие еще могут быть задачи, у которых нечего фильтровать при отключенном js?

Оценка фильтра - сыроват, хотя задатки весьма неплохие. Актуальная версия здесь https://github.com/leizongmin/js-xss
Посетитель
small user social cms
Медаль
Сообщений: 266
Насчет сырости фильтра, это судя по беглому просмотру или пробовали на уязвимость?!, если второе, хорошо бы увидеть что именно пропускает.
http://watson-studio.com
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.