Comment gérer attaque script dans l'application

Question

Nous sommes confrontés à des problèmes de javascript s'Encastré dans le corps du message, suivant est l'extrait de code du javascript,

} {* \ htmltag241 var DanaShimData = "var DSJsFuncs = , null ,,,, [{nm: \ "Actualiser \", lcnm: \ "refresh \", flg: 0xb}, {nm: \ \ "Installer \", flg: 0xf}, {nm: \ "writeln \", flg: 0x3f}, {nm: \ "GotoURL \ \", flg: 0xe}, {nm: \ "AjouterRoot \", lcnm: \ "addroot \", flg: 0xb}, {nm: \ \ "LoadURL \", lcnm: \ "loadurl \", flg: 0xb}, {nm: \ "addRule \ ", flg: 0xf}, {nm: \ "postURL \", lcnm: \ "posturl \", FLG: 0x12}, {nm: \ "remplacer \ \", FLG: 0x12f},], [{

pourrait Quelqu'un s'il vous plaît laissez-nous savoir si vous avez observé de telles occurrences/ résultats.

Toute aide appréciée.

Merci, Sudipta Ghosh

Answer 1

Essayez d'utiliser HTMLCodeFormat() ou HTMLEditFormat().

Voir docs.

Answer 2

Il existe un projet appelé 'AntiSammy' (http://www.antisamy.net/) qui utilise des fichiers pour lutter contre les attaques XSS fournies par de gros sites comme Slashdot et eBay. Vous pouvez chercher à extraire le code AntiSammy pour vous aider.

Voici un article de Peter Freitag sur l'utilisation d'AntiSammy sans ColdBox. http://www.petefreitag.com/item/760.cfm

Voici les documents pour le Cadre Coldbox: http://wiki.coldbox.org/wiki/Plugins:AntiSamy.cfm

Answer 3

Assurez-vous également que vous utilisez cfqueryparams, captchas ou une sorte de session, les messages de formulaire d'authentification.