Заменить символы в запросе на HTML

Никак, для такой замены нужно писать некую логику, для этого нужен язык программирования, HTML к таковым не относится.

И как, по-вашему, браузер будет парсить теги, у которых все < и > заменены соотв. кодами?

Уточню: на средствами apache (rewrite, secutity или еще чем-нить) заменить символы < и > на < и > соответственно.

В запросе только.

Вроде такого?

Не. Я не собираюсь писать модуль.

Значит так, нужно чтобы оно вот эти символы заменяло на другие так, как мне надо. Программировать не собираюсь.

Fail.

Не. Я не собираюсь писать модуль.

Давай по-другому скажу: то что ты вверху описал является форменным бредом, из твоего описания вообще не понятно чего ты хочешь. Там есть знакомые слова: HTML, Apache, XSS, но их сочетание сделано в виде какого-то непроходимого месива, несвязанного друг с другом.

Каких XSS уязвимостей? Где ты их профилактировать собрался? Что за проект вообще, на чем написан? Как ты этот заменяемый код используешь? выводишь, хранишь в базе, обрабатываешь?

А пока да, как здесь уже писали:

Значит так, нужно чтобы оно вот эти символы заменяло на другие так, как мне надо. Программировать не собираюсь.
Fail.

ничего из этого топика не добьешься, пока нормально для себя же не определишь задачу. Это гарантирую 100%.

Хорошо. Есть cgi приложение, которое работает совместно с Apache. Нужно: в строке запроса поменять букву «a» на букву «b».

Пример: Запрос /343242678/abc должен передаваться cgi приложению как /343242678/bbc.

эээ... вы передаете данные из форм методом GET и потом без проверок и фильтраций их вставляете в шаблоны? Если так - то этот пипец надо сжечь и забыть, поучиться и написать правильно. Если же вы фильтруете данные, то какие могут быть проблемы с XSS? К тому же, в случае передачи данных методом POST, изменение QUERY_STRING вам ничем не поможет.

по сабжу mod_Rewrite: http://www.webmasterworld.com/forum92/1432.htm

но нельзя так делать. Вы вместо гвоздей используете пластилиновые палочки и строите башню федерация.

Сейчас речь не о приложении. Приложение стороннее, подвержено XSS. Может вопрос можно решить при помощи mod_security?

exst

Для профилактики XSS атак нужно заменить символы < и > на соответствующие коды. Как это сделать средствами apache?

никак в принципе. Вы ответьте на вопрос, КАК попадают в ответ апача ваши <>? Если из формочки POST/GET они попадают в php скрипт, а этот скрипт их выдаёт, так сделайте в этом скрипте фильтрацию, на входе или на выходе. Ну а если они попадают из браузера клиента, в этот-же браузер клиента - то это уже не ваши проблемы, а проблемы этого клиента-хацкера :-)

ну можете попробовать попросту запретить запросы с <>

см. http://www.opennet.ru/base/sec/mod_security2.txt.html

Сейчас речь не о приложении. Приложение стороннее, подвержено XSS. Может вопрос можно решить при помощи mod_security?

В том то и дело, что вы плохо ориентируетесь в матчасти. Уязвимости XSS подвергается на Apache, а конкретное приложение, конкретный скрипт и никак вы это не исправите, пока не закроете дырку в скрипте. Это невозможно!

Это _не_ задача веб-сервера. Его дело - передать запрос в приложение.