Запобігання XSS використовуючи Data Binding

22:43 12.05.2009

Як повідомив RSnake в своєму пості Preventing XSS Using Data Binding, існує цікавий метод протідії XSS - Data Binding. Даний метод розроблений Stefano Di Paola.

Використовуючи Data Binding можна протидіяти Cross-Site Scripting атакам. Метод передбачає використання тега plaintext. За рахунок даного тега, в який поміщуються вхідні дані, можна заборонити виконання JS-коду і тим самим не допустити XSS атаку.

Для використання даної технології є свої за і проти, про що детально написав RSnake. Але окрім нюансів не пов’язаних з безпекою, є ще один секюріті нюанс - в даному методі є уразливість. Яка дозволяє проводити XSS атаки :-) , про що я вже писав (уразливість я виявив на сайті розробника даного методу). Дана уразливість працює в старих версіях Mozilla та Firefox (до Firefox 2.0), але в нових браузерах цей метод працює добре.


Leave a Reply

You must be logged in to post a comment.