Как не дать разместить вредоносный код пользователям сайта

Если посетители вашего сайта могут загружать файлы или текст на ваш сайт, вредоносный код может оказаться в загруженном контенте (умышленно или случайно).

 

  1. Защищайтесь от ботов.

    Для защиты от роботов-взломщиков можно использовать специальные плагины к CMS или искать IP-адреса пользователей в черных списках.

  2. Проверяйте данные, которые могут ввести пользователи.

    • Не давайте возможности вставлять JavaScript-код внутри <script>, в тегах или ссылках.
    • Не вставляйте напрямую на страницы сайта код в тегах <iframe>, <object>, <embed>, и не подгружайте файлы .jar, .swf и .pdf (с их помощью сайт может генерировать такие теги автоматически).
    • Поддерживайте «белый список» разрешённых HTML-тегов, чтобы без дополнительной обработки отбрасывать все остальные.

Популярные шаблоны