Htmlpurifier Yardımı
-
Herkese merhabalar,
her zamanki gibi benim sorum var :).
htmlpurifier veya benzer bir sınıfta olabilir bunu kullanarak nasıl sadece xss kodlarını temizleyebilirim sadece xss açığını kapatmak istiyorum diğer taglara izin versin çünki metin editör kullanıyorum. Bana yardımcı olabilirseniz çok sevinirim türkçe hiç kaynak yok ingilizcemde yok :) sırf benim için olmaz yarın birgün nette başkası ararsa burda bulabilir hem :D çok hazırcılık oluyor ama çok sıkışık durumdayım.
sevgilerle
-
Script, iframe engellesen yeter sanırım xss ve csrf için.
Ya da editöründeki butun html etiketlerini sırayla whitelist yapican
-
strip_tags($veri, '<p><strong><em><span><a><img>');
şeklinde sadece editördekilere izin verdim hocam
-
htmlpurifier gibi sınıflar eğer ki kullanıcıdan, sitenden yorumlanması gereken HTML kodu alıyorsan kullanmak gereken sınıflardır.
Diğer herşey için kullanıcıdan aldığın tüm verileri htmlspecialchars gibi metodlarla html kodlarını encode etmelisin.
-
nurulmac11 bunu yazdı
Script, iframe engellesen yeter sanırım xss ve csrf için.
Ya da editöründeki butun html etiketlerini sırayla whitelist yapican
Csrf bambaşka bir şey hocam. Csrf engellemek icin sayfaya token falan koyuyoruz server a gelen istek acaba gerçekten bizim site üzerinden mi geldi diye anlamak icin
-
hocam şu işine yarar %95:
str_replace("script","",$gonderilecekmesaj)
str_replace("iframe","",$gonderilecekmesaj)
str_replace("meta","",$gonderilecekmesaj)
emirhan-exp tarafından 25/Nis/17 20:32 tarihinde düzenlenmiştir -
yok strip_tags($veri, '<p><strong><em><span><a><img>'); ile sadece bu taglara izin verdim çözüldü olay
-
<a onClick(javascript:alert(document.cookie)) yazabilir o yüzden dedim sen bilirsin hoca
-
referer headerının kendi sitenden olmasını engellersen %99 başarısız olur hack işi
(moda not: yanlış başlığa yazdım)
emirhan-exp tarafından 25/Nis/17 21:06 tarihinde düzenlenmiştir -
Referrer, tarayıcı tarafından gönderilir. İstemci bazlı çözümle güvenlik sağlanamaz.
XSS için https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
-
hocam onu dışardan post edip hackliyorlar demiş ona yazacaktım buraya yazdım. istemciyi değiştirmek mümkün çünkü. neyse sonuç olarak metin editörünüz link yerine "javascript:alert('')" gibi şeyler kabul ediyorsa sorun var demektir.
şu örneği test edebilirsiniz
<a href="javascript:alert(\"xss\")">deneme</a>
işin daha kötüsü body onload bile yapılabilir index basılabilir.(öyle yapan arkadaş vardı)