Как лучше всего защититься от межсайтового скриптинга?

Анонимный вопрос
  · 358
тыжпрограммист  · tele.click/origin_of_species

Главное правило при разработке - не доверять пользовательскому вводу. При выводе информации на страницу нужно выводить только тот тип информации, который вы планировали. Ваша задача обсепечить безопасный вывод на стороне клиента, поэтому, например, prepared statements при работе с базой данных являются полезной практикой, но совсем от XSS не защищают.

Мой список не претендует на полноту, но это точно минимум:

1) экранирование + очистка ввода (например удаление html-тэгов)

2) управление Content Security Policy, чтобы избежать загрузки скриптов с других сайтов (см. также CSRF)

3) шаблонизация вывода. Не стоит выводить пользовательский ввод as-is. Лучше пропустить его через шаблонизатор, который сам при необходимости сэкранирует символы.

4) для пользователей: не кликать на ссылки в почте :)

23 января 2019  · < 100
Комментировать ответ…
Вы знаете ответ на этот вопрос?
Поделитесь своим опытом и знаниями
Войти и ответить на вопрос
Читайте также

Каково это — создать мем и узнать, что он начал пользоваться популярностью в интернете?

Мемы крутятся — регресс мутится

Мой мем даже гуглить не надо. В честь него на первое апреля была запилена пасхалка вк, чуть позже появились стикеры с ним, потом я узнала, что в его честь мейл.ру организовал каток, а на фестивале вк в прошлом году стояла его огромная статуя. Он успел уже страшно всем надоесть и заставил многих разочароваться в чувстве юмора современного общества. Это слово я прямо возненавидела всей душой, хотя оно применяется теперь в повседневной речи вообще везде. Этот мем — НИЧОСИ.

Основа была заложена 6 июля 2013 года. У меня есть близкая подруга, с которой мы периодически рисуем друг другу на стеночке всякий треш (даже до сих пор). Я нарисовала ЭТО у неё на стене за полминуты в тот день с приложения Kate Mobile, что собсно довольно очевидно становится по рисунку, если приглядеться. Иногда мы сохраняем рисунки друг друга в папку с сохраненками в вк, так случилось и в этот раз. Она не была какой-то известностной личностью ни в каком смысле, разве что у нас много виртуальных приятелей из других городов, которые наши сохраненки периодически чекают и соответственно пересохраняют их себе. Мы привыкли за год находить этот рисунок у "друзей друзей" максимум, забыли о нём вообще.

В конце 2014 я вспомнила о нем, увидев снова там, где меньше всего ожидала увидеть: в переписках моего парня с друзьями. Между делом я рассказала о том, что это мой рисунок, но к моему удивлению МНЕ НЕ ПОВЕРИЛИ. Попросили доказательство. Оказалось, что пикча гуляет по всему рунету уже полгода как. Эта подруга и все немногочисленные просвещенные кидали мне статьи и видео, посвещенные возможному происхождению сего явления, и общепринятой версией считается то, что впервые он появился на пикабу в 2014 где-то там в комментариях. В общем, забавно это всё было наблюдать, это стало своего рода культурной волной, а я ведь просто баловалась от скуки с тефоном. Причем это не было случайностью, он распространялся очень долго, интернет начал казаться воистину тесным.

Однажды ради лулзов я написала в техподдержку вопрос на эту тему, раздували с подругой, что может долю получу, а то вон на одних дошиках живу, а ведь создатель такого масштабного феномена. Всё свелось к тому, что для приобретения каких-то прав мне надо писать письмо с заявлением и отправлять в филиал вк соответветственно, чтоб этот вопрос начали рассматривать, но это уже перестало быть таким весёлым, и мы забили. К тому же со временем я начала этого как-то стыдиться даже, да и оригинал уже был давно всеми забыт и никому не интересен, так как был заменен на нечто, похожее на мусорный бак/миньона/контрацептив, ну вы поняли.

Эта запись всё ещё висит на стене у подруги, но она закрыта. Прямая ссылка на оригинальный рисунок: http://cs309119.vk.me/v309119403/5e16/kSpqyJTMzYc.jpg. Какой-никакой вещдок: http://cs626819.vk.me/v626819403/19f38/2wPazFVKWiM.jpg

Прочитать ещё 35 ответов

Что такое защита от фишинга, нужно ли её включать?

Природа/Музыка/Здоровый образ жизни/Правильное питание/Отжимания/ТурникБрусьяРас...

Если вы используете виндовс начиная с 7ой версии, и пользуетесь стандартным встроенным антивирусом виндовс, который обновляется, т.е. обновления виндовс вы не выключили, то ничего не нужно включать. Тем более во всех современных браузерах сейчас есть вся необходимая защита.

Раньше пользвался Касперским, но из-за того, что он слишком грузит систему, последнии 6 лет пользуюсь стандартным антивирусом и браузером Opera уже больше 10 лет.

Прочитать ещё 3 ответа

Какой самый безопасный мессенджер по вашему мнению?

Engineer - programmer ⚡⚡ Разбираюсь в компьютерах, технике, электронике, интернете и...  · zen.yandex.ru/gruber

Я считаю, что наиболее безопасный мессенджер в 2018 году — это Telegram. Они не выдали ключи дешифровки властям, что говорит о серьезном отношении к данным пользователей. К тому же многие большие компании используют именно Telegram как основной рабочий мессенджер.

4 ноября 2018  · 9,6 K
Прочитать ещё 5 ответов

Как вы зарабатываете в интернете?

Игрун на клаве, гитаре, геймпаде и ложке с вилкой. Ещё покодить люблю, да. И в...

Способов масса, на самом деле.

Наверное, самый распространенный способ - мошенничество. Но тут не надо быть большого ума. Да и вообще не стоит этим заниматься, ибо деятельность эта неблагородная, если вы не Робин Гуд и, к тому же, уголовно наказуемая.

Второй способ: ставки. Тут тоже нужно сто раз подумать и при этом - головой. Азарт в этом деле забирает конкретно, неважно из насколько прочного материала сделана твоя воля. Если спорт для тебя 10-ая тема, то найди людей, которые в этом разбираются и, может быть, ты начнешь рубить денежки. Правда в этой сфере нужен какой-никакой стартовый капитал, иначе раскручиваться будешь долго.

Третий способ: трейдинг. Суть та же, что и в ставках. Угадал - молодец, не угадал - денежки отдал. Профессионалов в этой сфере меньше. Большинство "ведущих трейдеров" ничему тебя не научат, а просто сделают на тебе свое имя и будут продавать VIP-подписки в группах VK. Иногда помогают форумы, но за бесплатно никакую годную информацию ты не получишь, естественно. Очень кстати популярные ресурсы предоставляют демо-счет, чтобы тебе было на чем потренироваться.

Четвертый способ: сетевой маркетинг. Благо живем не в 90-х, и этот вид заработка не подразумевает хождение с "мечтой оккупанта" по квартирам и предложение всякой дичи, которую ты даже не решишься попробовать сам. Вкладывать баснословные суммы тебя никто не заставляет. Спамить на различных ресурсах тоже (причем в уважающих себя компаниях это запрещено). Включаешься в структуру, в работу, набираешь людей, рекомендуешь продукцию, активно ведешь ленту в соц. сетях, чтобы набирать больше человек и сопровождать тех, с кем уже работаешь. Правда большинство людей очень негативно относится к работягам в сетевом, так что готовься к резкой и необоснованной критике.

Пятый способ: фриланс. Внедриться сюда на данный момент довольно сложно, я считаю. Нужно сидеть на близких к этой тематике ресурсах и браться за любые заказы и за любые суммы, если хочешь сделать себе хоть какое-то имя и получить приглашение в более стоящий проект. Тут нужно быть мастером своего дела. Мало просто что-то понимать. Раз выбрал конкретное направление по работе, уделяй этому как можно больше внимания. Не зря существуют отзывы и оценки.

Просто поделился небольшими, вполне очевидными познаниями. Дополните, если что-то забыл. (=

10 января 2017  · 15,4 K
Прочитать ещё 19 ответов

Как обеспечить анонимность в интернете?

Автор и создатель Telegram-канала "Большой брат"  · tele.click/mediainsider

Рецепт полной анонимности прост: нужно перестать пользоваться интернетом и купить себе кнопочный мобильный телефон без выхода в сеть.

Но если вы не планируете так жертвовать своим уровнем жизни и при этом хотите снизить уровень слежки, следуйте простым советам.

  1. Перестаньте оформлять скидочные карты при любой покупке. Да, придется пожертвовать выгодными акциями, но зато вы сохраните ваши данные, которые могут затем утечь в неизвестном направлении. Запомните: скидочные карты предлагаются не для того, чтобы распродать товар, а чтобы получить доступ к вашим персональным данным.
  2. Удалитесь из всех соцсетей. Если для вас это сложно, сохраните несколько самых важных аккаунтов, стерев из них всю личную информацию и фото, установив нейтральную аватарку. О том, почему постить подробные истории из вашей личной жизни, прикрепив к ним фотографии и геолокацию, очень опасно и недальновидно, говорить не буду. Интернет полон разными историями о том, как людей увольняют, грабят, судят, обманывают, просто внимательно изучив их посты.
  3. Также информацию из аккаунтов очень любят банки и страховые компании. Не удивляйтесь потом, если вам откажут в кредите или завысят ставку по полису.
  4. Отключите в смартфоне автоматический поиск сетей Wi-Fi. Некоторые компании расставляют по городу роутеры, считывающие mac-адрес вашего устройства для доступа к данным ваших перемещений, а затем перепродают эту информацию третьим лицам.
  5. Не пользуйтесь дебетовой или кредитной карточкой. Просто снимайте с нее деньги и расплачивайтесь наличными. При оплате ими банк получает доступ к данным о ваших потребительских предпочтениях и передвижениях. Эту информацию он может затем использовать в своей аналитике, перепродать её другим компаниям или вообще передать кому угодно.
  6. Запретите приложениям доступ к вашим координатам, к контактам, к личной информации через настройки смартфона.
  7. Установите VPN, чтобы ваши интернет следы были незаметны для провайдера. Желательно платный. Бесплатные VPN бесплатны только на первый взгляд. Зарабатывают они тем, что получают доступ к вашим данным, которые затем перепродают.
  8. Установите блокировщик рекламы, который блокирует cookies и прочие данные о вашем интернет серфинге. Самые популярные программы - AdBlock и Adguard.

***

И запомните главное правило. Всегда задумывайтесь при регистрации аккаунтов или оформлении чего бы то ни было в интернете: зачем передавать ту или иную информацию сайту или приложению. Не кажется ли вам, что в данном случае она излишня?

Ваши данные - это нефть будущего, берегите их.

13 июля 2018  · 121,9 K
Прочитать ещё 104 ответа