oktatas:web:javascript:biztonsag
Ez a dokumentum egy előző változata!
Tartalomjegyzék
Biztonság
- Szerző: Sallai András
- Copyright © 2025, Sallai András
- Web: https://szit.hu
CSRF/XSRF támadás
Egy nem kívánt műveletet hajt végre a támadó.
Lehetséges utalás:
https://bank.example/transfer?to=123456&amount=100
Egy hamis weboldalon a következő láthatatlan kép van.
<img src="https://bank.example/transfer?to=123456&amount=100" width="0" height="0">
XSS
Az XSS elkerüléséhez ellenőrizzünk minden olyat adatot ami felhasználói bevitelből származik. Az adatbázisban is előfordulhatnak ilyen adatok.
Lehetőleg kerüljük a HTML kimenetet. Használjunk HTML entitásokat.
| HTML karakter | Helyette használandó HTML entitás |
|---|---|
| < (kisebb mint) | < |
| < (nagyobb mint) | > |
| & (ampersand) helyett | & |
| „ (idézőjel) helyett | " |
| ' (aposztróf) helyett | ' vagy ' |
Az XSS futtatáshoz teszteléséhez használjuk az alert() helyett a print() utasítást. Újabb Google Chrome böngészőkben az alert() alapból tiltva van a böngészők közötti figyelmeztetésben, ifrmae-en belül.
oktatas/web/javascript/biztonsag.1742137621.txt.gz · Utolsó módosítás: 2025/03/16 16:07 szerkesztette: admin