Disons que j'ai un élément et <div> et lorsque l'utilisateur met HTML, CSS ou tout ce qu'ils veulent), dans le Textarea, leur entrée est définie comme l'élément innerhtml de l'élément <div> , en utilisant javascript. </ p> <p> Quelles sont les vulnérabilités de laisser l'utilisateur définir le contenu d'un élément <div> </ p> </div> <!-- tags --> <div class="d-flex mt-1"> <div class=""> <a class="badge badge-info" href="/tag/javascript">javascript</a> <a class="badge badge-info" href="/tag/html">html</a> <a class="badge badge-info" href="/tag/innerhtml">innerhtml</a> </div> </div> <hr> <!-- comments --> <div class="pl-5"> <small class="text-muted">2 commentaires</small> <div class="comments mt-3"> <p>Parlez-vous d'un type de prévisualisation en direct ici?</p> <hr> <p>@Demian Oui, la div rendrait le HTML comme vous tapez.</p> <hr> </div> </div> </div> <div class=""> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-5975820494937925" data-ad-slot="2186005983" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <!-- Answers --> <p class="mt-4 font-weight-bold">4 Réponses :</p> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 1<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Eh bien, si vous encodez le contenu de manière à ce que n'importe quel JavaScript soit en train d'exécuter, il devrait être sûr. </ p> <p> Si vous n'êtes pas alors utilisé, un utilisateur pourrait télécharger JavaScript qui exécuterait la prochaine fois que la page Vues d'utilisateur. </ p> <p> Je veux modifier ma réponse pour prendre en compte les commentaires @brigham. Escape ne fonctionne que de manière fiable si vous avez affaire à l'innerhtml de quelque chose comme un onglet div, si vous faites face à l'utilisation d'une valeur générée par l'utilisateur en tant qu'attribut ou dans une étiquette de script, l'échappement / encodage ne fonctionnera pas. </ p> <p> Je vais vous référer à la directive Owasp XSS (que @brigham a initialement porté à mon attention) pour plus d'informations: <a href = "https://www.owasp.org/index.php/xsss_%28cross_site_scripting% 29_PRENTION_CHEAT_SEET # UNTRUSTED_DATA "rel =" nofollow "> https://www.owasp.org/index.php/xsss_%28cross_site_scriptting%29_prevent_cheat_sheet#untrusted_data </a> </ p> </div> <hr> <!-- comments --> <div class="pl-5"> <small class="text-muted">2 commentaires</small> <div class="comments mt-3"> <p class="answer-comment"> Coder le contenu pour supprimer la possibilité de JavaScript est assez difficile. Par exemple, dans IE, il est possible d'exécuter JavaScript dans CSS: <a href = "https://www.owasp.org/index.php/xsss_(cross_site_scripting)_cepevention_cheat_sheet#rule_.234_-_css_scape_befree_serting_untrusted_sty_into_html_style_property_values" rel = "Nofollow Noreferrer "> owasp.org/index.php/... </a> </p> <hr> <p class="answer-comment"> @Brigham, merci pour ce lien c'est très intéressant. Je vais certainement l'utiliser comme référence. Cependant, cette question particulière ne consiste pas à placer la saisie de l'utilisateur dans une position arbitraire dans le document. La question concerne spécifiquement le remplacement du corps de la DIV. Dans ce cas, le codage devrait s'occuper de toutes les attaques possibles. Même le document que vous avez réfrigé des États ceci: "L'encodage de l'entité HTML est correct pour les données non approuvées que vous mettez dans le corps du document HTML, telle que dans une balise <div>". </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 0<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> L'utilisateur peut faire des scripts croisés. Il peut injecter du code côté client malveillant </ P> <p> Jetez un coup d'œil à <a href="http://fr.wikipedia.org/wiki/cross-site_scripting" rel="nofewe"> http://fr.wikipedia.org/wiki/cross-site_scripting < / a> </ p> </div> <hr> <!-- comments --> <div class="pl-5"> <small class="text-muted">1 commentaires</small> <div class="comments mt-3"> <p class="answer-comment"> Je suis à peu près sûr que l'OP parle d'un aperçu en direct de ce que l'utilisateur saisit, auquel cas pourquoi voudriez-vous exécuter quelque chose de malveillant sur leur propre machine (sans oublier que cette fonctionnalité n'est pas cohérente avec la définition de la définition de XSS) </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 3<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Si le contenu qu'elles entrent ne quitte pas la page, il n'ya plus de risque que d'être édité le DOM via Firebug ou l'inspecteur de chrome. Si vous prenez leur entrée puis l'affiche, c'est-à-dire un risque de sécurité énorme, en particulier lorsque d'autres utilisateurs sont sur votre site Web. </ P> </div> <hr> <!-- comments --> <div class="pl-5"> <small class="text-muted">5 commentaires</small> <div class="comments mt-3"> <p class="answer-comment"> Pour le contenu, ils entrent pour "ne pas quitter la page", devrais-je utiliser un <code> iframe </ code>? </p> <hr> <p class="answer-comment"> Non, vous venez de gérer le bouton Soumettre Cliquez sur le texte Texarea, puis définissez InnerhTML InnerhTML de DIV sur cette valeur, dans votre cas. </p> <hr> <p class="answer-comment"> Je ne comprends toujours pas ce que vous dites :( Si vous mettez le texte textarea comme le Div's InnerhTML, alors ne serait-il pas vulnérable au JavaScript malveillant? </p> <hr> <p class="answer-comment"> Pas si vous n'envoyez pas le texte saisi de l'utilisateur sur le serveur. Si vous venez de le garder sur cette page, il n'y a aucun risque. Ils peuvent simplement ouvrir leur inspecteur et simplement gâcher avec le HTML eux-mêmes de toute façon (vous ne pouvez jamais arrêter cela, je peux le faire à cette page maintenant si je veux). Si vous traitez leur texte, puis affichez-le pour les autres utilisateurs, c'est là que vous et vos utilisateurs deviennent vulnérables. </p> <hr> <p class="answer-comment"> Excellent merci! Tout s'explique maintenant :) </p> <hr> </div> </div> </div> </div> <hr> <div class="row mt-3"> <div class="col-lg-1 col-md-2 col-2 col-sm-2 text-center pt-1 mx-0 px-0"> <div class="badge badge-score"> 0<br> votes </div> </div> <div class="col-lg-11 col-md-10 col-10 col-sm-10"> <div class="body-content"> <p> Ce qu'ils veulent peut inclure un <code> <script> </ code> étiquette qui tire un fichier .js de leur propre serveur. Ensuite, si vous montrez ce contenu à un autre utilisateur, le script pourrait faire toutes sortes de choses pour extraire des informations à partir de l'utilisateur sans méfiance. </ P> </div> <hr> <!-- comments --> <div class="pl-5"> <small class="text-muted">0 commentaires</small> <div class="comments mt-3"> </div> </div> </div> </div> <hr> </div> <div class="col-lg-3 col-md-12 col-12 col-sm-12" > <div class="related"> <iframe src="https://rcm-eu.amazon-adsystem.com/e/cm?o=8&p=12&l=ez&f=ifr&linkID=b777da379e25dfc65f34887292b82918&t=birdy0c-21&tracking_id=birdy0c-21" width="300" height="250" scrolling="no" border="0" marginwidth="0" style="border:none;" frameborder="0"></iframe> <p class="font-weight-bold">Articles qui pourrait vous intéresser :</p> <a href="/question/impossible-d-39-importer-le-module-quot-angular-material-quot" class=""> Impossible d'importer le module "@ angular / material" </a> <hr> <a href="/question/interaction-profonde-avec-break-and-catch" class=""> Interaction profonde avec break and catch </a> <hr> <a href="/question/utilisation-de-node-js-comment-renommer-tous-les-fichiers-d-39-un-dossier" class=""> Utilisation de node.js comment renommer tous les fichiers d'un dossier </a> <hr> <a href="/question/google-chrome-uncaught-promis-domexception-lors-de-la-lecture-audio" class=""> Google Chrome Uncaught (promis) DOMException lors de la lecture AUDIO </a> <hr> </div> <div class=""> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-5975820494937925" data-ad-slot="4267220326" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> </div> </div> <script type="text/javascript" src="/js/purecookie.js"></script> </div> <div class="container col-lg-8 col-md-12 ads-footer"> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-5975820494937925" data-ad-slot="5580301997" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </body> <footer> <div class="row col-lg-12 col-md-12 text-muted"> © 2020 www.devfaq.fr - Licensed under <a href="https://creativecommons.org/licenses/by-sa/3.0/" rel="license"> cc by-sa 3.0 </a> with <a href="https://stackoverflow.blog/2009/06/25/attribution-required/" rel="license"> attribution required</a>. </div> </footer> </html>
