[Java lista] <script> tag-ek eltávolítása

[Gergely Hodicska]

Szia!


> Szeretném eltávolítani a szövegből a script tag-eket, de nem akar sikerülni. 
Mi lenne ezzel pontosan a célod? Csak azért kérdezem, mert ha mondjuk 
XSS elleni védelem, akkor iszonyat naiv. XSS szűrés általánosságban nem 
mondom, hogy nem lehetséges, de egy tényleg biztonságos megoldást 
összehozni az kb. vérszopás.

Pl. említették itt, hogy protokol filteringre is figyelni kell, vagy 
mondjuk egy apróság, amire nem szoktak figyelni: <scr<script>ipt>. De 
kb. ez a jéghegy csúcsa, utána jön az amire nagyon nehéz felkészülni, a 
különböző böngésző jellegzetességek és bugok. Érdemes lehet egyszer 
megnézni, hogy milyen sok féle képpen lehet XSS-t injectálni:
http://www.gnucitizen.org/xssdb/application.htm

Ezért ha bejövő adatról van szó, akkor a legjobb valamilyen markupot 
használni. Ha valamiért nagyon nem lehet, akkor én a következő (némileg 
fordított) megközelítést szoktam használni (ez még így tekinthető 
biztonságosnak): a teljes szövegen a spéci HTML karakterek cseréje HTML 
entitásokra, majd ebben a szövegben cserélgetem vissza HTML-re azokat a 
szekvenciákat, amiket az alkalmazásom legitim használata eredményezhet.


Üdv,
Felhő