Как не дать разместить вредоносный код пользователям сайта
Если посетители вашего сайта могут загружать файлы или текст на ваш сайт, вредоносный код может оказаться в загруженном контенте (умышленно или случайно).
-
Защищайтесь от ботов.
Для защиты от роботов-взломщиков можно использовать специальные плагины к CMS или искать IP-адреса пользователей в черных списках.
-
Проверяйте данные, которые могут ввести пользователи.
- Не давайте возможности вставлять JavaScript-код внутри <script>, в тегах или ссылках.
- Не вставляйте напрямую на страницы сайта код в тегах <iframe>, <object>, <embed>, и не подгружайте файлы .jar, .swf и .pdf (с их помощью сайт может генерировать такие теги автоматически).
- Поддерживайте «белый список» разрешённых HTML-тегов, чтобы без дополнительной обработки отбрасывать все остальные.
< Предыдущая | Следующая > |
---|