Запобігання XSS використовуючи Data Binding
22:43 12.05.2009Як повідомив RSnake в своєму пості Preventing XSS Using Data Binding, існує цікавий метод протідії XSS - Data Binding. Даний метод розроблений Stefano Di Paola.
Використовуючи Data Binding можна протидіяти Cross-Site Scripting атакам. Метод передбачає використання тега plaintext. За рахунок даного тега, в який поміщуються вхідні дані, можна заборонити виконання JS-коду і тим самим не допустити XSS атаку.
Для використання даної технології є свої за і проти, про що детально написав RSnake. Але окрім нюансів не пов’язаних з безпекою, є ще один секюріті нюанс - в даному методі є уразливість. Яка дозволяє проводити XSS атаки , про що я вже писав (уразливість я виявив на сайті розробника даного методу). Дана уразливість працює в старих версіях Mozilla та Firefox (до Firefox 2.0), але в нових браузерах цей метод працює добре.