[[oktatas:web:javascript|< JavaScript]] ====== Biztonság ====== * **Szerző:** Sallai András * Copyright (c) 2025, Sallai András * Licenc: [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]] * Web: https://szit.hu ===== CSRF/XSRF támadás ===== Egy nem kívánt műveletet hajt végre a támadó. Lehetséges utalás: https://bank.example/transfer?to=123456&amount=100 Egy hamis weboldalon a következő láthatatlan kép van. ===== XSS ===== Az XSS elkerüléséhez ellenőrizzünk minden olyat adatot ami felhasználói bevitelből származik. Az adatbázisban is előfordulhatnak ilyen adatok. Lehetőleg kerüljük a HTML kimenetet. Használjunk HTML entitásokat. ^ HTML karakter ^ Helyette használandó HTML entitás ^ | < (kisebb mint) | < | | < (nagyobb mint) | > | | & (ampersand) helyett | & | | " (idézőjel) helyett | " | | ' (aposztróf) helyett | ' vagy ' | A bemenet ellenőrzése legyen szigorú. Az email az legyen email. Ha létre kell hozni egy azonosítót (nem adatbázisban) az feleljen meg a UUID szabványnak. Felhasználói bemenetek soha ne kerüljenek a következő helyekre: *