XSS Cross Site Scripting

[Daw 0]

Olá meus amigos,

 

estou precisando dar uma solução para evitar injeções de códigos html nos formulários de um sistema.

O famoso Cross Site Scripting... você submete qualquer coisa html no formulário, grava as informações e o navegador interpreta as informações.

 

Enquanto a preocupação fica só nos códigos simples html, css etc... tudo bem mas o problema é que é possível processar as linguagens scprit (javascript/vbscript) que rodam na máquina do cliente e sabemos que podem causar estragos.

 

Por enquanto estou com duas propostas de solução:

- utilizar Server.HTMLEncode no ASP e o programa troca todas as tags html por seus respectivos códigos hexa ou ascii não sei direito, ou...

- uma função para remover tags html, mantendo somente os valores preenchidos.

 

Porém, não quero usar nenhuma das duas.

A primeira me faz gravar no banco de dados esses códigos e eu não quero e a segunda tornará muito braçal a manutenção nas páginas do sistema para aplicá-la linha a linha que fizer recuperação de dados dos formulários.

 

Enfim... acho que escrevi demais mas acho que ficou claro.

 

Ficaria muito feliz se alguém pudesse compartilhar esse estudo comigo.

Dede já agradeço a todos!

 

[]tz ;)

[Ted k' 126]

e a segunda tornará muito braças a manutenção nas páginas do sistema para aplicá-la linha a linha que fizer recuperação de dados dos formulários.

não amigo que curte som jamaicano, você pode fazer uma função e aplicar a função em todas as página como em programação OO, você cria uma instância e puxa o objeto, coloca as principais instruções do SQL e algumas do HTML, creio que uma das duas opções que você mesmo citou terá que usar, mais prefiro a 2º, sempre usei man!!!

[Daw 0]

É Ted, eu desconfio que não terá jeito mesmo...

Penso em algumas outras alternativas o trabalho braçal de atualização dos códigos já prontos seria o mesmo.

 

Eu disse que não pretendia usar esta solução pois o site já está muito grande e eu deveria proceder as atualizações em muuuuitos pontos da aplicação, entende? E, teoricamente, o ideal seria solucionar isto no menor tempo possível.

 

Obrigado pela troca de informações.

 

[]tz ;)

[Ted k' 126]

há entendi, muito trabalho, hum compreendi mais cara você nem tem como otmizar??

 

colocar no global.asa essa "instância" e fazer referência na hora do cadastramento???

 

pelo jeito que você está falando ai parece que é um bom trabalho braçal!!

[Daw 0]

Estou pensando sim em algo no global.asa

Mas não sei como...

 

A idéia é a seguinte... as páginas tem basicamente seus formulários e outra página "action" que recupera os campos do formulário via request.form e manda pro banco.

 

A melhor até agora é criar a função, por exemplo com nome de removeHTML(), e em cada response.form de todo site incrementar removeHTML(request.form(campo)), sacou o trabalhão?

 

E não achei solução ainda para otimizar esta idéia.

[Ted k' 126]

2 Tipos, pelo Dreamweaver você tem o replace all com o CTRL + F que você localiza todos os request.form e colocar essa função o problema é fechar isso, não sei se dar certo..

 

outro tipo é "natoralmente"

[Daw 0]

Eu sei deste recurso Ted, eu uso visual studio e este recurso é bastante usado hehehehe

 

Vou ver no que vai dar isso aqui e posto aqui a solução utilizada.

[Ted k' 126]

é uma ótima solução, agora o replace tem que ser perfeito!

 

boa sorte!!