Asked Feb 20th, 2:10 AM 48 0 1
  • 48 0 1
0

Hỏi về lỗi XSS trong express js

Share
  • 48 0 1

Em chào mọi người, mọi người cho e hỏi là hôm nay e có tạo 1 site nho nhỏ bằng express , và lúc e thử đăng 1 bài viết từ client có <script>alert()</script> thì không thấy có thông báo mà nó in hẳn cái đoạn <script>... ra luôn, vậy là ứng dụng viết bằng express mặc định k bị lỗi xss hay thế nào vậy ạ ? em cảm ơn

Feb 20th, 2:11 AM

@at3s Bạn đăng câu hỏi nhầm box rồi nhé. Chuyên mục hỏi đáp trên Viblo ở trang Questions😃 Do vậy nên Viblo Team đã chuyển bài đăng của bạn về chuyên mục Questions rồi nha.

0
| Reply
Share
Feb 20th, 2:42 AM

@VibloTeam dạ vâng, em cảm ơn Viblo Team ạ, may mà k xóa luôn bài của e hihi

+1
| Reply
Share

1 ANSWERS


Answered Feb 21st, 2:02 AM
Accepted
+3

Hầu hết các view engine, hay template engine, hiện tại đều có cơ chế mặc định là escape hết các ký tự HTML đặc biệt, như >, <, &, ", ' và việc này sẽ giúp bạn render dữ liệu ra mà không thực thi mã script, giúp tránh được lỗi XSS. Đấy là một chức năng của template engine mà bạn đang sử dụng trong project của mình.

Tuy nhiên, theo mình thấy một mình chức năng như vậy vẫn là chưa đủ đâu, điều quan trọng là bạn cần phải luôn ghi nhớ rằng, "đừng bao giờ tin tưởng vào dữ liệu của người dùng". Với những project lớn, phức tạp, có nhiều logic, đôi khi hacker có thể lợi dụng những kẽ hở rất nhỏ, để thực thi được XSS đấy. Như hiện tại thì hầu hết các framework, với các template engine hiện đại đều có chức năng defult là escape special characters rồi, nhưng XSS vẫn xuất hiện đều dặn, và luôn là một trong những nghiêm trọng của các hệ thống. Việc phòng chống nó, cuối cùng, cũng là phụ thuộc vào kinh nghiệm và năng lực của developer thôi 😃

Share
Feb 21st, 2:05 AM

vâng, mình cảm ơn nha 😄

0
| Reply
Share