[[oktatas:web:javascript|< JavaScript]]
====== Biztonság ======
* **Szerző:** Sallai András
* Copyright (c) 2025, Sallai András
* Licenc: [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
* Web: https://szit.hu
===== CSRF/XSRF támadás =====
Egy nem kívánt műveletet hajt végre a támadó.
Lehetséges utalás:
https://bank.example/transfer?to=123456&amount=100
Egy hamis weboldalon a következő láthatatlan kép van.
===== XSS =====
Az XSS elkerüléséhez ellenőrizzünk minden olyat adatot ami felhasználói bevitelből származik. Az adatbázisban is előfordulhatnak ilyen adatok.
Lehetőleg kerüljük a HTML kimenetet. Használjunk HTML entitásokat.
^ HTML karakter ^ Helyette használandó HTML entitás ^
| < (kisebb mint) | < |
| < (nagyobb mint) | > |
| & (ampersand) helyett | & |
| " (idézőjel) helyett | " |
| ' (aposztróf) helyett | ' vagy ' |
A bemenet ellenőrzése legyen szigorú. Az email az legyen email. Ha létre kell hozni egy azonosítót (nem adatbázisban) az feleljen meg a UUID szabványnak.
Felhasználói bemenetek soha ne kerüljenek a következő helyekre:
*