0
私のサイトでは、あなたがログインした後、あなたは会員限定セクションに入っています。以前にそこに入れたデータベースからいくつかのデータを取り出し、それをページに表示します。あなただけがそれを見ることができるならば、あなたが以前に入力したjsコードの悪意のある注射がありますか?自分のサイトのメンバーセクションに悪意のあるXSS攻撃が存在する可能性がありますか?
だから、私のサイト上であなたがたとえば、あなたのアドレスを示しページにあなたのアドレスに
<script>alert('hi')</script>
を置くことができ、これは実際に実行されますが、それはあなたがに入れ、唯一あなたがそれを見ることができるものです。
私はこれについてどうすればいいのかを判断しようとしていますが、別のユーザーに害を加えたいと思った場合にユーザーに表示されるデータを想像することはできません。
なぜユーザー入力をフィルタリングしませんか? – Herr
私は間違いなくできるが、もし私がしなければ起こる可能性のある最悪のことについて私はちょうど興味がある。ユーザーだけが再び見ることのできる入力を検証するには、どのように細心の注意を払う必要がありますか? – powlette
最悪の場合、誰かがセッションをハイジャックして、ユーザーアカウントとその他のものを介してアクセス可能な感性データにアクセスできますが、そのような安全なコードを書くのに多くの時間を費やす価値がありますか?私はそれを疑う:)デフォルトで多くのフィルタリングを行うcodeigniterのようなフレームワークの使用を検討する – Herr