Все мы знаем о таком типе атак как XSS (об их видах и способах применения написано много), мы все знаем, какую опасность может представлять такая атака, а также, что мы всегда должны проверять входящие данные на наличие XSS. - об этом везде пишут. Но информации о том, от чего именно и как именно защититься, практически нет. Я веб-разработчик, создавший собственную CMS, на основе которой создаю сайты (зачем я изобретал велосипед? - это не тема для данного обсуждения), проведя детальный анализ, я понял, что защита откровенно слабая.
и попытался найти решение проблемы.
Нашел большую подробную коллекцию возможные варианты XSS-атак — это будут тестовые атаки, которые необходимо отфильтровать.
В результате поиска и тестирования я для себя определил, что полностью справился с задачей - только HTML-очиститель .
Библиотека фильтров написана на PHP с огромными возможностями настройки.
Все в этой библиотеке отлично, кроме одного - в работе библиотека использует 4,2Мб памяти, что, на мой взгляд, слишком много.
Остальные претенденты либо не смогли полностью справиться со всеми тестами, либо настолько устарели, что для них остались только битые ссылки.
Я понимаю, что этот фильтр будет запускаться редко (исключительно для проверки входящих данных от потенциально опасных посетителей), но по собственным убеждениям стараюсь все максимально улучшить.
Возможно, у кого-то есть информация о лучшем и оптимизированном фильтре? Нет проблем, если оно написано на другом языке.
В идеале мы ищем простую и быструю функцию, которая сможет четко фильтровать XSS-атаки.
Теги: #xss #защита #уязвимости #Чулан
-
Наш Сайт
19 Oct, 24 -
Абсурдность Нобелевской Премии По Науке
19 Oct, 24 -
Последний Аргумент Разработчиков
19 Oct, 24
