169 похожих чатов

Есть “server-side xss”, т.е. хакер отправляет htmlку, в которую вставляет

а-ля iframe src=file:///etc/passwd, потом из этой htmlки генерится PDF на сервере и отдается хакеру(соответственно уже с содержимым файла)
Что можно сделать в качестве защиты от такой штуки? сейчас завайтлистили определенные теги, но, как я понимаю, остается возможность эксплуатации через атрибуты. Как санитайзить атрибуты?
на сервере PHP

6 ответов

12 просмотров

htmlspeacialchar по-моему называется такой фильтр под php. На Гугли точно не помню.

Это ближе к pdf lfi, pdf ssrf, etc чем к хсс Энкодить юзер инпут надо как минимум, максимум изучать какие возможности блокировок есть у фреймворка генерации пдфок

Aleksei
Это ближе к pdf lfi, pdf ssrf, etc чем к хсс Энко...

Суть вопроса все равно не изменится, будь это хоть божественной карой 😄

denstr- Автор вопроса
Aleksei
Это ближе к pdf lfi, pdf ssrf, etc чем к хсс Энко...

“фреймфорк генерации” это хедлесс хром

у тебя три варианта

2waf.com
у тебя три варианта

А как же "всё в строку переводить"?

Похожие вопросы

Обсуждают сегодня

Здравствуйте, хочу сделать HelloWorld в консоли Дельфи, но функция API ничего не выводит, что я делаю не так? program Hello; {$APPTYPE CONSOLE} uses System.SysUtils, WinAPI.Wi...
Sergey Vinogradov
20
лучше скажите, причём тут паскаль?
Alexey Kulakov
32
Вопрос на перед, на следующую пятницу. Сколько строк кода можно вешать на одного программиста, понятно что если проект хорошо написан то можно и миллион. Но есть же где то пре...
AlekseyK Kluchnikov
31
Немного оффтопа: а кто на чем сидит для осдева в плане ide/редактора? Последнее время сидел на vscode, но я его прям не могу нормально воспринимать, перешел на сlion, но меня...
Evg Resh
29
#include <stdio.h> #include <stdlib.h> #include <time.h> int** generate_table(int size_matrix) { int** matrix = (int**)malloc(size_matrix * sizeof(int*)); for (int i ...
Чувак
1
@PerlBanjoBot use v5.38; sub split_on_cond($arr, $cond) { ($a, $b) = ([], []); push @{ $cond->($_) ? $a : $b }, $_ for @$arr; ($a, $b) } use Data::Dumper; warn Dumpe...
Sergei Zhmylove
10
Всем привет! как узнать, что текст в TSkLabel был выведен сокращенным ? Есть функция для TLabel которая позволяет определить , что текст выведен сокращенным function TFrmMai...
DELPHI SOLUTIONS
6
Вот объясните, как это работает: Вот есть допустим unix-подобная система, и программа запускает допустим printf или fork, как это передается ядру, и как оно обрабатывать начин...
Егор
14
Дебил? Я ищу друга
Bitard 228
27
У меня это всегда вопрос вызывало.. Нафига писать код так, чтобы потом ошибки вылавливать?
Nik
44
Карта сайта