Aktywne Wpisy
Goronco +57
EissIckedouw +249
Co trzeba mieć w głowie, żeby komentować w taki sposób ze swojego legitnego imienia i nazwiska?
#bialorus #granica #bekazlewactwa
#bialorus #granica #bekazlewactwa
Skopiuj link
Skopiuj linkWykop.pl
czy zabezpieczenie przed csrf przez token ma sens jeżeli nie zabezpieczamy się przed xss?
Dobrze myślę, ze jeżeli mogę odczytać cookies to mogę też chyba odczytać wartość pola .*token?
Kilka podstawowych zasad:
- Ciastka sesyjne powinny miec flagi HTTP-ONLY i SECURE; Nawet z XSSem nikt nieprzejmie sesji itp.
- XSS: Eskejpujemy wszystko co drukujemy dynamicznie z kodu aplikacji, bez wyjatku, najlepiej stosowac jakies wbudowane klasy frameworka w stylu Html::encode(zmienna) i tylko tak drukowac dane, bez tego latwo wpasc w pulapke. Warto tez pamietac zeby zajac