U toho nahrazovani je take zapotrebi dat pozor. Mozna budu ted blabolit trochu z cesty , ale mam pocit ze je potreba vstupni data pred nahrazovanim dostat do "kanonicke formy" :-) - zjednodusene receno ze stejny znak lze zakodovat ruznymi zpusoby a prohlizec ho bude ale interpretovat stejne (nektery prohlizec :-) )
Tenkrat jsem na to pouzil ICU Normalizer. Myslim ze jsem cerpal z filter evasion na ha.ckers.org, tam byly i nejake sympaticke kousky na otestovani: http://ha.ckers.org/xss.html VS 2011/8/16 Ondra Medek <[email protected]>: > Jeste ten pripad 2. ma vyhodu, ze uzivatel vidi to, co zadal. > > 2011/8/16 Ondra Medek <[email protected]>: >> Ahoj, >> >> proti XSS ze lze zajistit 1. na vstupu a/nebo 2. na vystupu. Ty hledas >> nastroj pro 1., coz muze byt slozita uloha, ale na druhou stranu mas >> velkou jistotu, ze zobrazeni dat je bezpecne. Lze ovsem vstup od >> uzivatele nechat byt, a osetrit text na vystupu - pouze prevezt par >> znaku (<>"&\) na XML/HTML entity. Coz je jednoducha uloha, avsak si >> musis byt jist, ze to provedes vzdy. Pokud se chces podivat na tetno >> pripad, tak treba viz >> https://github.com/zkoss/zk/blob/master/zcommon/src/org/zkoss/xml/XMLs.java >> metoda escapeXML. >> >> 2011/8/15 Lukas Barton <[email protected]>: >>> Ahoj, >>> ve webaplikaci ma moznost uzivatel zadat HTML pomoci Rich Text HTML editoru >>> TinyMCE. >>> Toho HTML ma moznost editovat i rucne. Zaroven pres REST muze na server >>> nahrat v podstate jakekoliv HTML. >>> Aplikace potom toto HTML zobrazuje ve strance uzivatelum. >>> Hledal jsem tedy nejakou knihovnu, ktera by toto HTML procistila na >>> prijatelnou podmnozinu. >>> Nasel jsem http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer a >>> https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project. >>> Bohuzel se mi nepodarilo najit jake jsou s tema knihovnama zkusenosti. >>> Zaroven mi neprijdou jako moc zive projekty. >>> Jakou knihovnu pouzivate na cisteni HTML zadaneho uzivatelem? >>> Diky, >>> Lukas >> >> >> >> -- >> Ondra Medek >> > > > > -- > Ondra Medek >
