Programación Web y Scripting > HTML

 [seguridad]cómo Evitar Xss???

(1/3) > >>

Kyrylys:
Hola, buenos días y feliz año ^^

Posteo este mensaje en html porque me parece que es mas global, os expongo mis preocupaciones:

Estoy haciendo una web en la cual incluyo un formulario, despues verifico los campos con jscript y luego lo envio por php.

El problema es que he estado leyendo que es mejor validar en php y luego en jscript para evitar los ataques de xss (es decir, el codigo malicioso que se puede poner en los formularios)

El caso es que mis conocimientos de php aún no dan para verificar formularios :(
y no sé cómo podria evitar el codigo malicioso desde jscript... si me pudieseis hecha un cable os lo agradecería.

Además ha sido poco lo que he encontrado del tema, he visto páginas hacerca de como apoderarse de las cookis, pero no he visto ninguna de cómo prevenirse de los ataques.
Si alguien sabe un poco de este tema estaria genial un "informe"!!!

Bueno muchas gracias.

RadicalEd:
La malo es que al verificar en php la información es verificada desde el servidor, lo cual permite +/- enviar los datos, mientras en JavaScript este los verifica antes de enviar cualquier cosa.

Lo que puedes hacer es mediante el método que utilices ya sea POST o GET, recoger el nombre de los campos de los text de los formularios, algo así:

<!--html--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>HTML </td></tr><tr><td id='CODE'><!--html1-->arhivo.html
<input name="campoText" type="text">

en el archivo.php haces algo así:

archivo.php
$var = $_GET['campoText'];
$var = $_POST['campoText'];
if ($var == codigo malicioso o como quieras llamarle)
{
 //haga algo
}<!--html2--></td></tr></table><div class='postcolor'><!--html3-->

Ojala te sirva, si algo preguntas.

Chao

Kyrylys:
me sorprendio que recomendaran hacerlo alreves, de momento 1º verifico en js y luego recojo en php las variables y lo envia al corrreo.

la cuestion es que no se que bloquear.. vale con un indexof de < o hay algo mas?
apenas he encontrado nada acerca del tema en la web : (

Kyrylys:
me sorprendio que recomendaran hacerlo alreves, de momento 1º verifico en js y luego recojo en php las variables y lo envia al corrreo.

la cuestion es que no se que bloquear.. vale con un indexof de < o hay algo mas?
apenas he encontrado nada acerca del tema en la web : (

Mollense:
Una pregunta...¿Dónde encontraste esas recomendaciones? y ¿Qué tipo de validaciones necesitas hacer?

Navegación

[0] Índice de Mensajes

[#] Página Siguiente

Ir a la versión completa