PEAK XOOPS - Re: anti-XSS system (4) in englishin japanese

Top > Comments >News comment >Re: anti-XSS system (4)

Re: anti-XSS system (4)

Target News
Subject anti-XSS system (4)
Summary This is the last chapter of BigUmbrella.The code in (3) has two points should be argued.- Is the check pattern OK?preg_match( '/[<\'"].{15}/s' , $val , $regs )<img src="(REQUEST)" /><a href="(REQUEST)">If this pattern exists, it is not enough.Because "...

List posts in the topic

normal Re: anti-XSS system (4)

msg# 1.1
depth:
1
Previous post - Next post | Parent - Children.1 | Posted on 2006/7/13 17:57 | Last modified
GIJOE  Gunnery Sergeant   Posts: 4110
Quote:
安易にprototype.jsなんかをincludeしてしまうと、このフィルタリングが非常に難しい・・・。たとえば、Ajaxは new Ajax.Request で生成されてしまう・・・。
外部ライブラリ自体の脆弱性ではないけど、それが引き起こす脆弱性が増えそうですね。
あ〜、なるほど〜。そりゃ潰しようがないですね。
やっぱり、Script Insertionについては、本体側で真面目に作ってもらうしかないですね。

やはり外部からの「HTML許可」はあり得ない設定ですね。
承認制でも事実上意味のないケースが多く見られますし。

Quote:
便利さと完全にトレードオフです。困ったものです・・。
実際、CSRF対策は
・とりあえずチケット
・後は何とかどっかで引っかかってくれ
という状況で。
これ、Mozzilaとかのブラウザプロジェクトにみんなでお願いしましょうよ。

XMLHttpRequest の場合には、それがWebアプリケーション側で確実に判別できるHTTPリクエストを送る(しかもJavaScriptからはキャンセルできない)、という仕様を追加してもらうしかないですよ。
Votes:2 Average:5.00

Posts tree

  Advanced search

Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!