- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Argos: Adjátok vissza a netet! - szeretnék elaludni!
- Magga: PLEX: multimédia az egész lakásban
- Luck Dragon: Asszociációs játék. :)
- Geri Bátyó: Megint tahó voltam – SZEMÉLYISÉGFEJLŐDÉS
- sziku69: Fűzzük össze a szavakat :)
- sziku69: Szólánc.
- Elektromos rásegítésű kerékpárok
- bambano: Bambanő háza tája
- GoodSpeed: AMD Ryzen 9 9900X (100-100000662WOF)+ Samsung 990 PRO 2TB MZ-V9P2T0BW
- Windows: mi történik valójában Leállításkor, Alvó módban és Újraindításkor?
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Részesedést vásárolhat az USA az Intelben
- One otthoni szolgáltatások (TV, internet, telefon)
- Hajmeresztő ajánlat: 34,5 milliárd dollárért vinnék a Google Chrome böngészőjét
Új hozzászólás Aktív témák
-
Taci
addikt
válasz
sztanozs #20787 üzenetére
Arra gondoltam, megcsinálom azt, hogy szűröm az adott kontextusban rosszindulatúnak számító kifejezésekre, és ha van benne ilyen, akkor megpróbálom "tisztítani" (vagy simán csak skip, mert ha már "fertőzött", akkor valid tartalomrész amúgy sem nagyon lesz benne).
Pl. ha kép linkjét várom, akkor abban nem lehet javascript, onerror, onfocus stb.
Viszont mivel nem csak a
javascript:alert('Hacked!')
valid, hanem ajAvascript:alert('Hacked!')
is, ezért így gondoltam az ellenőrzés (egy részét) megcsinálni:if (stripos(htmlspecialchars_decode($linkToCheck), $dirty_content) !== FALSE){
echo "XSS-találat!";
}
Ettől azt várnám, hogy ha
$linkToCheck = "jAvascript:alert('Hacked!')";
akkor ahtmlspecialchars_decode
ezt visszaírjajAvascript:alert('Hacked!')
-re,
astripos
pedig mivel case insensitive, így ha arra keresek, hogy "javascript:"$dirty_content = "javascript:";
akkor sikerül elkapni.De nem, a _decode nem, vagy nem úgy működik, ahogy várnám, és találatot itt továbbra is csak akkor ad, ha a speciális HTML entity-re keresek, pl.:
jA
Mit rontok el?
Új hozzászólás Aktív témák
Hirdetés
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Spórolós topik
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Vicces képek
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- LEGO klub
- Battlefield 6
- Azonnali fotós kérdések órája
- Okos Otthon / Smart Home
- Motorola Moto G84 - színes egyéniség
- További aktív témák...
- CSX 2x2GB (4GB) DDR 800 MHz kit
- HIBÁTLAN iPhone 13 512GB Starlight -1 ÉV GARANCIA - Kártyafüggetlen, MS3078, 100% Akkumulátor
- REFURBISHED és ÚJ - HP USB-C/A Universal Dock G2 docking station (5TW13AA) (DisplayLink)
- Xiaomi Redmi 9AT 32GB, Kártyafüggetlen, 1 Év Garanciával
- Azonnali készpénzes GAMER / üzleti notebook felvásárlás személyesen / csomagküldéssel korrekt áron
Állásajánlatok
Cég: FOTC
Város: Budapest