AS
ну вообще стоит защищать не только БД от инъекций, но и пользователя от XSS 🤷
Size: a a a
2020 December 19
ВС
А данный кейс разве не об этом?
ВС
Речь про то, чтобы даже если вредоносный контент попал в БД через любую форму, то он бы не воспроизводился
ВС
И не навредил пользователю
ВС
Вы же не сможете запретить писать пользователям в форме слово
<script>. Уже хотя бы потому, что это может быть частью технической статьиAS
ну поэтому логично заменять именно спецсимволы, а не в base64 кодировать с уязвимостями 🤔
ДЩ
а еще не стоит изобретать велосипед и использовать стандартные средства используемого фреймворка или взять либу https://packagist.org/packages/voku/anti-xss
ДЩ
Вы же не сможете запретить писать пользователям в форме слово
<script>. Уже хотя бы потому, что это может быть частью технической статьинафиг html, надо нарыть висивиг который возвращает markdown, а при рендере делать md-to-html ))
ВС
нафиг html, надо нарыть висивиг который возвращает markdown, а при рендере делать md-to-html ))
Так я и говорю, что html не нужен на входе. Но если на входе будет статья с фрагментом кода?
ДЩ
Так я и говорю, что html не нужен на входе. Но если на входе будет статья с фрагментом кода?
anti-xss тогда
ВС
anti-xss тогда
Глянул примеры, выглядит неплохо
MH
а еще не стоит изобретать велосипед и использовать стандартные средства используемого фреймворка или взять либу https://packagist.org/packages/voku/anti-xss
а что если чел написал код
<code> script(1)</script> чисто для демонстрации, а antixss его чистит?ДЩ
а что если чел написал код
<code> script(1)</script> чисто для демонстрации, а antixss его чистит?мы же не знаем ваш контекст, если вам нужно чтобы код сохранился тогда придется что-то думать и юзать пурифайер с кастомными настройками
MH
мы же не знаем ваш контекст, если вам нужно чтобы код сохранился тогда придется что-то думать и юзать пурифайер с кастомными настройками
Ну что бы подобное не юзать и не мучить сервак, я решил просто всё в base64 кидать и хранить.
ВС
Ну что бы подобное не юзать и не мучить сервак, я решил просто всё в base64 кидать и хранить.
А что потом? Вы раскодируете строку и она будет обработана, так?
MH
А что потом? Вы раскодируете строку и она будет обработана, так?
Ну да, это плохо?
ВС
Ну это никак вам не поможет, потому что содержимое выполнится. Речь про то, чтобы не допустить сохранение содержимого в исходном (вредоносном) виде.
ВС
Вы просто сделаете бесполезную работу, которая никак не приблизит вас к цели, если не будете кодировать спец. символы.
MH
Вы просто сделаете бесполезную работу, которая никак не приблизит вас к цели, если не будете кодировать спец. символы.
🧐 ну так на сервер прилетел base64, автоматом ничего не выполнится на серваке, в том же виде кинуть клиенту, а там чисто преобразовать из base64 и сделать обычный string (срендерить), как такой вариант?
ВС
🧐 ну так на сервер прилетел base64, автоматом ничего не выполнится на серваке, в том же виде кинуть клиенту, а там чисто преобразовать из base64 и сделать обычный string (срендерить), как такой вариант?
Так речь про клиента, когда это добро будет декодировано. Как вы это понять не можете. Это вообще не должно выполняться.