Prajem dobry den a dakujem za odpoved. Ano, s XSRF mame samozrejme tiez problemy, a mame v plane popasovat sa s nimi. Ked si pozriete OWASP Top10, tak u nas najdete vzorku zo vsetkeho :-(
Co sa tyka c:out, tak to nepokryva vsetky potreby escapovania na HTML strankach. Browser parsuje vstupny text roznym sposobom na roznych miestach stranky. c:out pokryva jediny kontext: vkladanie textu do html/xml elementov. Pri ostatnych kontextoch zlyhava (napr. atributy, data v javascripte, atd.). Vid OWASP XSS Prevention Cheat Sheet. -Peter On Monday, 30. April 2012 at 8:54, Martin Kuba wrote: > Dne 27.4.2012 16:23, Peter Štibraný napsal(a): > > Ahoj, > > > > odhliadnuc od faktu, ze c:out je na mnohych miestach absolutne nedostatocne > > riesenie, tak sa musime spolahnut na to, ze vyvojari nezabudnu na spravnom > > mieste pouzit spravne escapovanie. Ja dufam, ze sa najde i lepsie riesenie > > :-) > > <c:out> musí proti XSS plně stačit. Naopak občas to může být příliš silné > řešení, > protože nedovolí vypsat vůbec žádné speciální znaky, a pokud byla aplikace > špatně > navržená a dovolovala uživatelům vkládat HTML, některou funkčnost <c:out> > zruší. > Ale XSS spolehlivě zablokuje. > > Když už jste v tom opevňování proti útokům, podívejte se taky na XSRF útoky, > proti těm se brání složitěji než proti XSS, a legacy aplikace proti nim > nejspíš > taky nebude chráněná. > > Makub > > -- > ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > CERIT-SC Martin Kuba > Institute of Computer Science email: [email protected] > (mailto:[email protected]) > Masaryk University http://www.ics.muni.cz/~makub/ > Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 > --------------------------------------------------------------
