Ankündigung

Einklappen
Keine Ankündigung bisher.

XSS Schutz?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • XSS Schutz?

    Moin liebe Community!

    Ich wollte euch mal Fragen wie ich den Code (unten abgebildet) mit XSS schütze.

    bsp 1, ich fetche etwas , speichere den wert ( `${dateShow}`) und gebe es mit return lastUpdateX aus. Kann da jemand jetzt XSS einfügen?

    PHP-Code:
                            fetch('/test/test.php')
                            .
    then(function(response) {
                                return 
    response.json()
                            })
                            .
    then(res => {
                                if(
    res.records.length 0) {

                                
    // Show the last Update where the domain was checked //
                                
    const lastupdate res.records.map(check => {
                                    var 
    dateShow moment(check.domainDate).format('L');
                                    const 
    lastUpdateX '<p>' + `${dateShow}` + '</p>';
                                    return 
    lastUpdateX;
                                }) 
    oder wenn ich z.b mit innerHTML ein Tag einfügen möchte:

    (ich fetche eine Domain aus einer API und setze den wert unten in SELECT ein. Kann man da auch XSS einfügen? falls ja wie fixxe ich es?

    PHP-Code:

    document
    .querySelector('.domain_url_output').innerHTML '<p><select name="domain" class="select">' domain '</select></p>'

  • #2
    Clientseitig kann man immer alles manipulieren. Wichtig ist, dass man durch manipulierte Daten im Client nicht serverseitig Unfug treiben kann
    Pre-Coffee-Posts sind mit Vorsicht zu geniessen!

    Kommentar


    • #3
      Prinzipiell solltest du immer alle Kontextwechsel behandeln, ungeachtet von XSS. Wenn du das machst, dann hat sich auch das Thema XSS großteils erledigt. Das heißt du solltest z.B. keine Werte direkt in HTML-Code einfügen. Der Browser stellt dir als Werkzeug die DOM-Manipulation zur Verfügung. Es gibt keinen Grund per Hand irgendwelche HTML-Codes zusammen zu basteln. Das ist erstens mühsam und zweitens fehleranfällig.

      Kommentar

      Lädt...
      X