Y a-t-il une bonne bibliothèque dans CPAN pour filtrer un champ de texte pour toutes les mauvaises choses, comme xss?Y a-t-il une bonne bibliothèque dans le CPAN pour filtrer les scripts inter-sites (XSS)?
Répondre
Votre première étape devrait toujours être de rechercher et de parcourir les résultats. On dirait qu'il y a lots of potential hits. Lorsque je cherche quelque chose de nouveau, je parcours les résultats de recherche et je vérifie les docs des modules pour voir à quel point ils sont clairs et à quel point l'API est bien construite. Je cherche aussi des avis (certains ont, d'autres pas - c'est souvent aléatoire) et vérifie les bugs. Cela me donne une idée de ce à quoi je suis confronté.
Si votre question est "Laquelle de ces différentes options est la meilleure?", Alors j'ai peur de ne pas savoir dans ce cas. (Ma réponse initiale a peut-être été trop générale.)
Deux bons endroits pour lancer une recherche de CPAN:
Au niveau de base que vous voulez HTML::Entities, mais qui vous échappera dépend de l'endroit où vous utilisez les valeurs dans le DOM. Cela n'aidera pas du tout l'entité html à encoder une entrée utilisateur si vous la collez à l'intérieur d'une balise <script>
, par exemple.
Il est assez probable que vous utilisez une sorte de modèle pour générer le code HTML, il devrait donc avoir une méthode pour échapper au contenu, HTML::Mason
a <% $thing |h %>
, Template::Toolkit
a [% thing | html %]
... mais si vous faites juste Dans votre propre code, vous devrez appeler le encode_entities
.
- 1. Meilleure pratique: Scripts intersites légitimes
- 2. Y at-il une bibliothèque javascript qui peut être utilisée pour filtrer les chaînes pour les attaques XSS?
- 3. Y at-il une bonne bibliothèque .NET pour lire les fichiers RAW?
- 4. Connaissez-vous une bonne bibliothèque REGEX pour le langage C?
- 5. Une bonne bibliothèque Java pour les réseaux mathématiques
- 6. Bonne bibliothèque d'inflexion pour PHP?
- 7. Bonne bibliothèque Tiff pour .NET
- 8. y compris dynamiquement les scripts php
- 9. Y a-t-il une bonne bibliothèque HttpClient pour J2ME/MIDP?
- 10. Existe-t-il une bonne bibliothèque de diagrammes pour Python?
- 11. Bonne bibliothèque SIMD portable
- 12. Bonne bibliothèque de journalisation pour les applications gérées/non gérées?
- 13. Une bonne bibliothèque arithmétique d'incertitude (intervalle)?
- 14. Bonne bibliothèque d'algorithme graphique Java?
- 15. bonne bibliothèque pour les plages de dates et périodes
- 16. Pour les programmeurs Python, y a-t-il quelque chose d'équivalent au CPAN de Perl?
- 17. La bonne façon de filtrer automatiquement les requêtes SQLAlchemy?
- 18. Filtrer les étiquettes d'ancrage dans une chaîne
- 19. Une bonne bibliothèque pour convertir PDF en TIFF?
- 20. Bonne bibliothèque SMTP + SSL/TLS pour C?
- 21. Bonne bibliothèque de type STL pour C
- 22. Existe-t-il une bonne bibliothèque dans .NET pour analyser/afficher les flux ICS?
- 23. Toute bonne bibliothèque de sorciers dans Flex?
- 24. XSS dans DataBinder.Eval
- 25. Fonction de filtrage XSS en PHP
- 26. Compilateurs pour les scripts shell
- 27. LINQ pour filtrer les répertoires
- 28. Y a-t-il une bonne référence pour le développement de Joomla 1.5?
- 29. Existe-t-il une bonne bibliothèque graphique 3D interactive?
- 30. JavaScript (Rhino) utilise une bibliothèque ou inclut d'autres scripts
Peut-être une copie de [Filtrage JavaScript en HTML] (http://stackoverflow.com/questions/858773/filtering-javascript-out-of-html). – sleske