Способы вставить JavaScript в URL?
Я сузил код и, наконец, нашел проблему следующим образом:
x_Barcode =: штрих-код
Должно быть так:
x_Barcode =: x_ Штрих-код
Это был действительно тихий вопрос, потому что не было ошибки, и функция вернула true
6 ответов
Я не полагаю, что можно взломать через URL. Кто-то мог попытаться ввести код в Ваше приложение, если Вы передаете, параметры (или ДОБИРАЮТСЯ или POST) в Ваше приложение так Ваше предотвращение будут очень похожими на то, что Вы сделали бы для локального приложения.
Удостоверьтесь, что Вы не добавляете параметры к SQL или другому выполнению сценария, которое было передано в код от браузера, не удостоверяясь, что строки не содержат языка сценария. Ищите следующее детали об инжекционных нападениях для платформы разработки, с которой Вы работаете, который должен привести к большому хорошему совету и примерам.
JavaScript может быть выполнен против текущей страницы только путем помещения его в адресе URL, например.
javascript:;alert(window.document.body.innerHTML);
javascript:;alert(window.document.body.childNodes[0].innerHTML);
Это зависит от Вашего приложения и его использования относительно уровня безопасности, в которой Вы нуждаетесь.
С точки зрения безопасности необходимо проверять все значения, которые Вы получаете от querystring или отправляете параметры, чтобы гарантировать, что они допустимы.
Можно также хотеть добавить вход для других, включая анализ блогов, таким образом, можно определить, происходит ли попытка взломать систему.
Я не полагаю, что возможно ввести JavaScript в URL и иметь это выполнение, если Ваше приложение не использует параметры, не проверяя их сначала.
Ключ к этому исследует любую информацию, которую Вы получаете и затем отображаете и/или используете в коде сервера. Получите/Отправьте переменные формы, если они содержат JavaScript, который Вы храните и позже вновь отображаете, угроза безопасности. Как любая вещь, которая связывается неисследованная в sql оператор, Вы работаете.
Один потенциальный глюк для наблюдения за является нападениями, которые смешивают с кодировкой символов. Например, если я отправляю форму с utf-8 набором символов, но Вы храните и более поздний дисплей на iso-8859-1 латыни без перевода затем, я смог стащить что-то мимо Вашего блока проверки допустимости. Самый легкий способ обработать это состоит в том, чтобы всегда отображать и хранить в том же наборе символов. utf-8 обычно является хорошим выбором. Никогда не зависьте от браузера, чтобы сделать правильную вещь для Вас в этом случае. Установите явные наборы символов и исследуйте наборы символов, Вы получаете и делаете перевод в ожидаемый набор устройства хранения данных перед проверкой его.
Если ссылка имеет JavaScript: затем это запустит JavaScript, иначе, я соглашаюсь со всеми остальными здесь, нет никакого способа сделать это.
ТАК достаточно умно для фильтрования этого!
JavaScript в URL не будет выполняться, самостоятельно. Это никаким путем означает его сейф или доверяться.
URL является другим вводом данных пользователем, которому не будут доверять, БУДЕТ ДОБИРАТЬСЯ, или POST (или любой другой метод в этом отношении) может вызвать, выделяют серьезных уязвимостей.
Типичным примером было использование PHP_SELF, REQUEST_URI, SCRIPT_NAME и подобные переменные. Разработчики по ошибке повторили бы их непосредственно к браузеру, который привел к сценарию, вводимому в страницу, и выполнился.
Я предложил бы, чтобы Вы начали делать, выделяют чтения, это некоторые хорошие места для запуска:
Также Google вокруг для XSS (пересекают сценарии сайта), XSRF (Перекрестная Подделка Запроса Сайта), и Внедрение SQL. Это запустит Вас, но это, выделяют информации для поглощения, так не торопитесь. Это будет стоить того в конечном счете.