[[oktatas:web:javascript|< JavaScript]]

====== Biztonság ======

  * **Szerző:** Sallai András
  * Copyright (c) 2025, Sallai András
  * Licenc: [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: https://szit.hu

===== CSRF/XSRF támadás =====

Egy nem kívánt műveletet hajt végre a támadó.

Lehetséges utalás:
  https://bank.example/transfer?to=123456&amount=100

Egy hamis weboldalon a következő láthatatlan kép van.

<code>
<img src="https://bank.example/transfer?to=123456&amount=100" width="0" height="0">
</code>


===== XSS =====

Az XSS elkerüléséhez ellenőrizzünk minden olyat adatot ami felhasználói bevitelből származik. Az adatbázisban is előfordulhatnak ilyen adatok.

Lehetőleg kerüljük a HTML kimenetet. Használjunk HTML entitásokat.

^  HTML karakter  ^  Helyette használandó HTML entitás  ^
| < (kisebb mint) | &lt; |
| < (nagyobb mint) | &gt; |
| & (ampersand) helyett | &amp; |
| " (idézőjel) helyett | &quot; |
| ' (aposztróf) helyett | &#39 vagy &apos; |

A bemenet ellenőrzése legyen szigorú. Az email az legyen email. Ha létre kell hozni egy azonosítót (nem adatbázisban) az feleljen meg a UUID szabványnak.


Felhasználói bemenetek soha ne kerüljenek a következő helyekre:

  * <script> elemen belül
  * <style> elemen belül
  * HTML attribútumon belül <valami valami_attribútum="bemenet">



Az XSS futtatáshoz teszteléséhez használjuk az alert() helyett a print() utasítást. Újabb Google Chrome böngészőkben az alert() alapból tiltva van a böngészők közötti figyelmeztetésben, ifrmae-en belül.