Mailinglisten-Archive |
Hallo Andreas, ----- Original Message ----- From: "Andreas Stagl" <a.stagl_(at)_gmx.at> Subject: Re: [php] Cross-Site-Scripting (XSS) Schutz mit PHP > At 16:16 10.10.2002 +0200, you wrote: > >Hallo Zusammen, > > > >Als Schutz vor möglichen Cross-Site-Scripting (XSS) Angriffen auf unsere > >Web-Applikation möchte ich im Header auf jeder Site ein Schutz einbauen. > >Betroffen davon sind eigentlich alle möglichen Header Eingaben.( Get, Post, > >Cookie, Session, Put ). > > > >$_ENV, $_GET, $_POST, $_COOKIE, $_SERVER, $_SESSION > > > ><...> > > wenns wirklich dermaßen sicher sein muss, dann verwende in deinen scripten > einfach keines dieser arrays... ausgenommen davon ist die übergabe einer > session-id. ob die nun über get, post oder als cookie passiert, bleibt > jedoch dir überlassen. > > wenn du nun daten zwischen den einzelnen seiten übergeben musst, tu das > über session-variablen. Das wird auch gemacht, jedoch für einen Shop muss es ein Array sein. Dies hat jedoch nichts mit dem Cross-Site-Scripting Problem zu tun!!! Bei Cross-Site-Scripting Angriffen werden ja die Session Werte eines Users mittels Javascript (document.cookie) ausgelesen und dann missbraucht. Es geht eigentlich nur darum, dass niemand durch eine Methode wie get, post, put, cookies, session javascript Argumente übergeben kann. Deswegen muss dies unterbunden werden! Mehr zu XSS hier: http://www.idefense.com/idpapers/XSS.pdf http://www.astalavista.net/member/dir.php?ParentID=582 Gruss Ivan
php::bar PHP Wiki - Listenarchive