Diskuse:Cross-site scripting
Toto není XSS!!! Článek je chybný! To co popisuje toto heslo je spíš Remote File Inclusion! XSS je jen a pouze ten javascript - a nemusí se zadávat zrovna přes URL (i když to jde také), často se do stránek dostává neošetřeným vstupem/s obrázkem atd.
Jdu to přepsat :-) --Splite 16:17, 22. 8. 2007 (UTC)
EDIT: Zhruba přepsáno, ještě to jednou zreviduju a pohraju si s jazykem, teď není čas... --Splite 18:17, 22. 8. 2007 (UTC)
Externí odkazy či reference byly změněny (srpen 2018)
Dobrý den,
právě jsem se pokusil opravit 1 externí odkazy či reference na stránce Cross-site scripting. Prosím, zkontrolujte moje editace. Pokud máte nějaké otázky, potřebujete, abych tyto odkazy nebo dokonce celou tuto stránku ignoroval, prosím vizte seznam často kladených otázek pro další informaci. Provedl jsem následující změny:
- Přidán odkaz na https://web.archive.org/web/20120911044754/http://ha.ckers.org/xss.html do http://ha.ckers.org/xss.html
. Udělal-li jsem chybu, vizte seznam často kladených otázek.
Děkuji.—InternetArchiveBot (Nahlásit chybu) 25. 8. 2018, 08:13 (CEST)
Kapitola „Účinný příklad obrany v jazyce PHP“ je zcela v rozporu s bezpečnostními požadavky
V Kapitole „Účinný příklad obrany v jazyce PHP“ článku je ukázka funkcí htmlspecialcharsRecursive($val) a fixSuperglobals(), které jsou ale naprosto nesprávné, vytváří vývojové prostředí, v němž nebude možné rozumně napsat správně zabezpečenou aplikaci. Navrhuji tento odstavec odstranit bez náhrady, případně místo něho dát nějaký článek popisující správný návrh, např.: Escapování – definitivní příručka od autora Davida Grudla.
Důvod:
Uvedený kód nerespektuje kontext, v němž jsou pak proměnné používány. Tedy uvedené metody způsobí, že aplikace je bezpečná pouze při použití v HTML, ale nikoliv v JS, nebo SQL databázi. takto escapované hodnoty tedy není možné strojově zpracovat, protože tato data jsou již poškozena a je nutné data zpětně od-escapovat a po úpravě opět zaescapovat. To neúměrně zvyšuje komplexitu aplikace a současně to narušuje zdánlivou integritu bezpečnosti, které měly shora popsané funkce htmlspecialcharsRecursive($val) a fixSuperglobals() nastolit. --Jakub Bouček (diskuse) 4. 3. 2020, 23:40 (CET)