Les attaques XSS prennent des formes variées, et s'appuient sur toutes les faiblesses du code. Traditionnellement, on s'en protège avec htmlentities() ou htmlspecialchars(), mais cela suppose même que la balise a utilise des guillemets pour protéger les attributs. Autrement, le caractère espace sera ignoré par les fonctions de protection, mais devient un attribut séparateur pour HTML.
C'est le même problème que mysqli_escape_string() qui ne reconnait pas les pourcentages ou les parenthèses, alors que ces derniers peuvent engendrer des dénis de services avec la balise LIKE ou une sous-requête.
- Non-Standard HTML Fuels XSS Attacks
C'est le même problème que mysqli_escape_string() qui ne reconnait pas les pourcentages ou les parenthèses, alors que ces derniers peuvent engendrer des dénis de services avec la balise LIKE ou une sous-requête.
- Non-Standard HTML Fuels XSS Attacks
-
Auteur