LINUX.ORG.RU

Никак, для такой замены нужно писать некую логику, для этого нужен язык программирования, HTML к таковым не относится.

BaBL ★★★★★
()

И как, по-вашему, браузер будет парсить теги, у которых все < и > заменены соотв. кодами?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от BaBL

Уточню: на средствами apache (rewrite, secutity или еще чем-нить) заменить символы < и > на < и > соответственно.

exst ★★★★★
() автор топика
Ответ на: комментарий от exst

Значит так, нужно чтобы оно вот эти символы заменяло на другие так, как мне надо. Программировать не собираюсь.

Fail.

baka-kun ★★★★★
()
Ответ на: комментарий от exst

Не. Я не собираюсь писать модуль.

Давай по-другому скажу: то что ты вверху описал является форменным бредом, из твоего описания вообще не понятно чего ты хочешь. Там есть знакомые слова: HTML, Apache, XSS, но их сочетание сделано в виде какого-то непроходимого месива, несвязанного друг с другом.

Каких XSS уязвимостей? Где ты их профилактировать собрался? Что за проект вообще, на чем написан? Как ты этот заменяемый код используешь? выводишь, хранишь в базе, обрабатываешь?

А пока да, как здесь уже писали:

Значит так, нужно чтобы оно вот эти символы заменяло на другие так, как мне надо. Программировать не собираюсь.
Fail.

ничего из этого топика не добьешься, пока нормально для себя же не определишь задачу. Это гарантирую 100%.

BaBL ★★★★★
()
Ответ на: комментарий от BaBL

Хорошо. Есть cgi приложение, которое работает совместно с Apache. Нужно: в строке запроса поменять букву «a» на букву «b».

Пример: Запрос /343242678/abc должен передаваться cgi приложению как /343242678/bbc.

exst ★★★★★
() автор топика
Ответ на: комментарий от exst

эээ... вы передаете данные из форм методом GET и потом без проверок и фильтраций их вставляете в шаблоны? Если так - то этот пипец надо сжечь и забыть, поучиться и написать правильно. Если же вы фильтруете данные, то какие могут быть проблемы с XSS? К тому же, в случае передачи данных методом POST, изменение QUERY_STRING вам ничем не поможет.

по сабжу mod_Rewrite: http://www.webmasterworld.com/forum92/1432.htm

но нельзя так делать. Вы вместо гвоздей используете пластилиновые палочки и строите башню федерация.

BaBL ★★★★★
()
Ответ на: комментарий от BaBL

Сейчас речь не о приложении. Приложение стороннее, подвержено XSS. Может вопрос можно решить при помощи mod_security?

exst ★★★★★
() автор топика

exst

Для профилактики XSS атак нужно заменить символы < и > на соответствующие коды. Как это сделать средствами apache?

никак в принципе. Вы ответьте на вопрос, КАК попадают в ответ апача ваши <>? Если из формочки POST/GET они попадают в php скрипт, а этот скрипт их выдаёт, так сделайте в этом скрипте фильтрацию, на входе или на выходе. Ну а если они попадают из браузера клиента, в этот-же браузер клиента - то это уже не ваши проблемы, а проблемы этого клиента-хацкера :-)

drBatty ★★
()
Ответ на: комментарий от exst

Сейчас речь не о приложении. Приложение стороннее, подвержено XSS. Может вопрос можно решить при помощи mod_security?

В том то и дело, что вы плохо ориентируетесь в матчасти. Уязвимости XSS подвергается на Apache, а конкретное приложение, конкретный скрипт и никак вы это не исправите, пока не закроете дырку в скрипте. Это невозможно!

BaBL ★★★★★
()

Это _не_ задача веб-сервера. Его дело - передать запрос в приложение.

leave ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.