estoy tratando de protegerme de XSS y estoy haciendo pruebas pero no me salen

jor_0203 · #1 (**permalink**) 27/08/2013, 11:33

estoy tratando de protegerme de XSS y estoy haciendo pruebas pero no me salen
ya meti por el url y no logro ejecutar este javascript, me han dicho que hay gente
que inyecta este tipo de cosas en el url y si se ejecuta no esta protegido,
por el cual lo hice, pero no se ejecuta ni en la url del navegador ni en la url de mi
codigo y no se que estoy haciendo mal

Código PHP:

Ver original<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Documento sin t&iacute;tulo</title>
</head>
<body>
<a href="se.php?h='<script>alert(999);</script>'">jorge</a>
<?php 
$r=$_GET['h'];
echo $r;
 ?>
</body>
</html>

ojala me pudieran ayudar para saber porque no se ejecuta, estoy usando
wampserver, ya que para mi es importante para aprender a protegerme

zerokilled · #2 (**permalink**) 27/08/2013, 11:55

buenas..
lo primero, verifica que php no esté generando algún error evitando así que se ejecute el script php. si todo está bien de lado servidor, entonces inspecciona el código fuente generado. si el código está bien, entonces verifica la consola del navegador. ¿de casualidad estás usando chrome?

jor_0203 · #3 (**permalink**) 27/08/2013, 12:01

Cita:

Iniciado por zerokilled

buenas..
lo primero, verifica que php no esté generando algún error evitando así que se ejecute el script php. si todo está bien de lado servidor, entonces inspecciona el código fuente generado. si el código está bien, entonces verifica la consola del navegador. ¿de casualidad estás usando chrome?

tienes razon
no se ejecuta en chrome pero en mozila si
y si estoy usando chrome por eso no me salio

como quitar eso que chrome te da
mil gracias

zerokilled · #4 (**permalink**) 27/08/2013, 12:05

me he fijado que chrome tiene protección contra XSS, por tanto no te permitirá ejecutar el script. parece que tienes que agregar unos headers http en particular para que chrome ignore la protección... o eso fue lo que entendí.

maycolalvarez · #5 (**permalink**) 27/08/2013, 12:12

de igual forma no me parece adecuado delegar al navegador (o javascript) la protección XSS, ya que no podemos confiarnos a que los usuarios usen un navegador actualizado, es por ello que debes de realizar los filtros en el servidor, con el objetivo de que tu DB este limpia de scripts y que en el dado caso de mostrar información, se evite generar código JS comprometedor.

jor_0203 · #6 (**permalink**) 27/08/2013, 13:00

Cita:

Iniciado por zerokilled

me he fijado que chrome tiene protección contra XSS, por tanto no te permitirá ejecutar el script. parece que tienes que agregar unos headers http en particular para que chrome ignore la protección... o eso fue lo que entendí.

eres un genio
ojala algún dia pueda ser como tu
genial observacion y mejor el consejo