ostpower Geschrieben 10. Juni 2010 Geschrieben 10. Juni 2010 Hallo zusammen, ich hab eine Webapplikation mit Eingabefeldern. Ich wollte jetzt den eingegebenen Text gegen XSS schützen, indem ich den Text in HTML encodiere. Somit würden Zeichen wie "<" umgeschrieben werden. Meine Frage ist jetzt, wo genau ist ein gefährliches Skript gefährlich. Dort wo es abgespeichert wird, oder im Frontend? Weil mir geht es um folgendes. Wenn ich den Text encodiere, und ihn so auch anzeige, dann sieht das ja nicht schön aus. Wenn ich also den encodierten String abspeichere, aber beim lesen wieder decodiere, ist das dann sicher?
Guybrush Threepwood Geschrieben 10. Juni 2010 Geschrieben 10. Juni 2010 Wo der Text gefährlich ist kommt drauf an was damit passiert. Wenn du den zum Beispiel ohne Prüfung in die Datenbank schreibst dann ist es beim Speichern gefährlich weil jemand eigenen SQL eingibt -> SQL Injection. Wenn du den (zum Beispiel als Gästebuchtext) einfach wieder anzeigst dann ist er da gefährlich weil jemand zum Beispiel Javscript Code eingegeben hat und damit irgendwas macht -> XSS usw.
ostpower Geschrieben 10. Juni 2010 Autor Geschrieben 10. Juni 2010 Das heißt um sicher zu gehn, müsste ich den encodierten Text auch in der Anzeige encodiert stehen lassen. Oder was wäre da die geschickteste aber auch benutzerfreundlichste Art sich gegen XSS zu schützen?
kingofbrain Geschrieben 10. Juni 2010 Geschrieben 10. Juni 2010 Das hat Guybrush Threepwood doch schon gesagt: Überleg Dir, welche Art von XSS für Dich von Bedeutung ist. Javascript-Attacken werden beim Benutzer ausgeführt, also encodierst Du das, was an den Benutzer geht. SQL-Injection auf dem Server, deshalb sorgst Du da entsprechend vor. Ich bin aber der Meinung, das hätten wir in Deinem Thread zum Thema vor ein paar Tagen / Wochen schon erörtert. Welche Erkenntnisse hast Du denn seit der Zeit gesammelt? Welche Art von Attacken willst Du bekämpfen? XSS und überhaupt das Thema Sicherheit in Webanwendungen ist keines, wo man eine Maßnahme trifft, und dann passt das. Man muss wissen, welche Arten von Attacken es gibt, welche für einen relevant sind, und was man dagegen tut. Auch hier nochmal der Hinweis: Schau Dir das ganze bei der OWASP an, die sind auf dem Gebiet diejenigen mit dem besten Überblick. Peter
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden