Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Анализ актуальных киберугроз

Методы защиты от XSS атак

1) Метод фильтрации пользовательских данных.

Данный метод основан на фильтрации входных данных пришедших от пользователя.

Все без исключения данные проходят ряд преобразований в специальных фильтрах, после чего в них не должно остаться символов, позволяющих интерпретировать данные как исполняемый код.

Такими символами могут служить знаки <,>, <php, а также специальные атрибуты типа onclick(), autofocus и прочие. После фильтрации данные записываются в БД или в другие места для хранения и безопасного отображения конечному пользователю. Недостатком данного метода является необходимость разрешения определенных значений тегов для некоторых типов полей. А также большая трудоемкость написания правильных регулярных выражений, учитывающих все особенности языка разметки.Так же обычно нет возможности проинформировать администратора о возможной попытке проведения атаки.

Помимо всего прочего, данные проверки достаточно ресурсоемки.

2) Метод преобразования специальных символов.

Согласно данному методу данные поступившие от пользователя обрабатываются специальным скриптом, который преобразует все символы разметки в специальные символы, интерпретировать которые может лишь специальный скрипт. Создается специальная таблица соответствия и свой псевдоязык. Поэтому для конечного пользователя будут представлены лишь безопасные и уже обработанные конструкции. Благодаря этому пользователь может использовать разметку и стилизовать свой текст. Недостатком является высокая ресурсоемкость при преобразовании и необходимость дополнительной фильтрации данных.

Все приведенные данные могут быть представлены в виде таблицы 5.

Таблица 5 - Классификация XSS атак

Методы защиты от XSS атак

Метод фильтрации пользовательских данных

Метод преобразования спецсимволов

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, химия, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика
Прочее