Discussion :

[Invité]

Bonjour,

la question est simple : "comment se protéger des failles xss sur un texarea ?"

On vient de me faire remarquer, très justement, qu'un de mes scripts avait une faille xss. (merci stealth35)

Je protège la récupération de mes données issues d'un formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
	// recuperation
	$from_input 	= htmlspecialchars(stripslashes(trim($_POST['from_input'])));
	$from_textarea 	= stripslashes(trim($_POST['from_textarea']));
	// avant passage en bdd : protection contre injection sql
	$from_input 	= mysql_real_escape_string($from_input);
	$from_textarea 	= mysql_real_escape_string($from_textarea);
?>

On a aussi :
- Sanitize filters
- filter_input

Mais je n'ai pas trouvé de solution contre les failles xss pour un textarea, qui, par définition, doit pouvoir enregistrer et afficher des balises html.

D'après ce que j'ai lu ("parcouru" serait plus juste) ici, là, ou là, ...
les hack xss "basiques" sont surtout de la forme :
- <script>alert("on t'a eu !")</script>
- <iframe src="http://site-du-hacker.com"></iframe>

-> "Comment s'en protéger au mieux ?
Une 1ère approche serait de supprimer toutes les balises <script> et <iframe> (et leur contenu) avec des regex, ou dom (?)
-> "Sera-ce suffisant ?"
-> "Quelle est la bonne méthode ?"
Merci.