Versione delle 13:10, 30 nov 2013 modifica Dr Zimbu (discussione \| contributi) Amministratori 175 773 modifiche m Annullate le modifiche di 82.60.48.207 (discussione), riportata alla versione precedente di 95.246.125.216 ← Differenza precedente		Versione delle 14:42, 22 apr 2014 modifica annulla 79.26.20.11 (discussione) →Origine e trasformazione del concetto Etichette: Nowiki inseriti da dispositivo mobile Modifica visuale Differenza successiva →
Riga 19: Per verificare la vulnerabilità di un sito è sufficiente (ad esempio) provare ad inserire del codice [[JavaScript]] o [[SQL]] nel suo campo di ricerca allo scopo di produrre effetti sulla pagina risultante, causando l'esecuzione del codice inserito. Il seguente è un semplice frammento di codice JavaScript adatto al test:~~<br />~~ <script type=<nowiki>''ciaoo''>alert ('xss')</script></nowiki> <br /> <source lang="html4strict"><script type="text/javascript">alert('XSS')</script></source><br /> Tra le operazioni che è possibile indurre il browser ad eseguire vi sono l'invio del contenuto di [[cookie]] a terze parti e l'aggiunta di elementi (X)HTML alla pagina, operazione che può servire facilmente a sottrarre credenziali di autenticazione per mezzo di un modulo di inserimento contraffatto sovrapposto ad un modulo originariamente presente nella pagina web. Line 25 ⟶ 29: == Come difendersi == === Escape degli input in PHP === Il metodo più sicuro per un programmatore PHP, è quello di usare una delle tre funzioni che permettono l'escape dei caratteri html inserite in una stringa. Dette funzioni sono: htmlspecialchars(), htmlentities(), strip_tags: tutte sicure, sishiuhiiohiohiohoii differenziano soltanto per l'output: <br/>

Cross-site scripting: differenze tra le versioni