ostpower Geschrieben 10. Juni 2010 Teilen Geschrieben 10. Juni 2010 Hallo zusammen, ich hab eine Webapplikation mit Eingabefeldern. Ich wollte jetzt den eingegebenen Text gegen XSS schützen, indem ich den Text in HTML encodiere. Somit würden Zeichen wie "<" umgeschrieben werden. Meine Frage ist jetzt, wo genau ist ein gefährliches Skript gefährlich. Dort wo es abgespeichert wird, oder im Frontend? Weil mir geht es um folgendes. Wenn ich den Text encodiere, und ihn so auch anzeige, dann sieht das ja nicht schön aus. Wenn ich also den encodierten String abspeichere, aber beim lesen wieder decodiere, ist das dann sicher? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Guybrush Threepwood Geschrieben 10. Juni 2010 Teilen Geschrieben 10. Juni 2010 Wo der Text gefährlich ist kommt drauf an was damit passiert. Wenn du den zum Beispiel ohne Prüfung in die Datenbank schreibst dann ist es beim Speichern gefährlich weil jemand eigenen SQL eingibt -> SQL Injection. Wenn du den (zum Beispiel als Gästebuchtext) einfach wieder anzeigst dann ist er da gefährlich weil jemand zum Beispiel Javscript Code eingegeben hat und damit irgendwas macht -> XSS usw. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ostpower Geschrieben 10. Juni 2010 Autor Teilen Geschrieben 10. Juni 2010 Das heißt um sicher zu gehn, müsste ich den encodierten Text auch in der Anzeige encodiert stehen lassen. Oder was wäre da die geschickteste aber auch benutzerfreundlichste Art sich gegen XSS zu schützen? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
kingofbrain Geschrieben 10. Juni 2010 Teilen Geschrieben 10. Juni 2010 Das hat Guybrush Threepwood doch schon gesagt: Überleg Dir, welche Art von XSS für Dich von Bedeutung ist. Javascript-Attacken werden beim Benutzer ausgeführt, also encodierst Du das, was an den Benutzer geht. SQL-Injection auf dem Server, deshalb sorgst Du da entsprechend vor. Ich bin aber der Meinung, das hätten wir in Deinem Thread zum Thema vor ein paar Tagen / Wochen schon erörtert. Welche Erkenntnisse hast Du denn seit der Zeit gesammelt? Welche Art von Attacken willst Du bekämpfen? XSS und überhaupt das Thema Sicherheit in Webanwendungen ist keines, wo man eine Maßnahme trifft, und dann passt das. Man muss wissen, welche Arten von Attacken es gibt, welche für einen relevant sind, und was man dagegen tut. Auch hier nochmal der Hinweis: Schau Dir das ganze bei der OWASP an, die sind auf dem Gebiet diejenigen mit dem besten Überblick. Peter Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.