Cross-site scripting: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m ., replaced: Javascript → JavaScript (8), typos fixed: E’ → È, Un’altra → Un'altra, à , → à, (3) using AWB |
mNessun oggetto della modifica |
||
Riga 86:
=== Convalidare in modo sicuro l’input non attendibile ===
Molte operazioni di particolari applicazioni web (forum, webmail, ecc.) permettono agli utenti di utilizzare un sottoinsieme limitato di markup HTML. Quando si accetta l’input HTML da parte degli utenti, ad esempio "<nowiki><b>molto<b/></nowiki> largo", la codifica in uscita, come "<nowiki>&</nowiki>lt;b<nowiki>&</nowiki>gt;molto<nowiki>&</nowiki>lt;/b<nowiki>&</nowiki>gt; largo", non sarà sufficiente dal momento che deve essere reso come HTML dal browser. Fermare un attacco XSS quando si accettano input HTML dall'utente, è molto complesso in questa circostanza. L’input HTML non attendibile deve essere eseguito attraverso un HTML sanitization engine per garantire che non contenga codice XSS.
=== Sicurezza dei cookie ===
| |||