Yêu cầu thg 2 20, 2020 2:10 SA 77 0 1
  • 77 0 1
0

Hỏi về lỗi XSS trong express js

Chia sẻ
  • 77 0 1

Em chào mọi người, mọi người cho e hỏi là hôm nay e có tạo 1 site nho nhỏ bằng express , và lúc e thử đăng 1 bài viết từ client có <script>alert()</script> thì không thấy có thông báo mà nó in hẳn cái đoạn <script>... ra luôn, vậy là ứng dụng viết bằng express mặc định k bị lỗi xss hay thế nào vậy ạ ? em cảm ơn

thg 2 20, 2020 2:11 SA

@at3s Bạn đăng câu hỏi nhầm box rồi nhé. Chuyên mục hỏi đáp trên Viblo ở trang Questions😃 Do vậy nên Viblo Team đã chuyển bài đăng của bạn về chuyên mục Questions rồi nha.

thg 2 20, 2020 2:42 SA

@VibloTeam dạ vâng, em cảm ơn Viblo Team ạ, may mà k xóa luôn bài của e hihi

1 CÂU TRẢ LỜI


Đã trả lời thg 2 21, 2020 2:02 SA
Đã được chấp nhận
+4

Hầu hết các view engine, hay template engine, hiện tại đều có cơ chế mặc định là escape hết các ký tự HTML đặc biệt, như >, <, &, ", ' và việc này sẽ giúp bạn render dữ liệu ra mà không thực thi mã script, giúp tránh được lỗi XSS. Đấy là một chức năng của template engine mà bạn đang sử dụng trong project của mình.

Tuy nhiên, theo mình thấy một mình chức năng như vậy vẫn là chưa đủ đâu, điều quan trọng là bạn cần phải luôn ghi nhớ rằng, "đừng bao giờ tin tưởng vào dữ liệu của người dùng". Với những project lớn, phức tạp, có nhiều logic, đôi khi hacker có thể lợi dụng những kẽ hở rất nhỏ, để thực thi được XSS đấy. Như hiện tại thì hầu hết các framework, với các template engine hiện đại đều có chức năng defult là escape special characters rồi, nhưng XSS vẫn xuất hiện đều dặn, và luôn là một trong những nghiêm trọng của các hệ thống. Việc phòng chống nó, cuối cùng, cũng là phụ thuộc vào kinh nghiệm và năng lực của developer thôi 😃

Chia sẻ
thg 2 21, 2020 2:05 SA

vâng, mình cảm ơn nha 😄

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí