защита от javascript

Discussion in 'Уязвимости' started by Trinux, 14 Mar 2006.

  1. Trinux

    Trinux Members of Antichat

    Joined:
    26 Nov 2004
    Messages:
    1,403
    Likes Received:
    296
    Reputations:
    364
    2 недели был на родине в чудестном городе Подпорожье, что под Питером. Скурил себе все мозги там. В очередной раз под накуркой задмался о наболевшем - защиты от document.cookie. И вот что пришло в голову. И тут у меня стали рождаться самые разные мысли. Одна из более менее достойных:

    Code:
    внутрянка нашей куки:
    <?echo $_COOKIE['dsds'];?><br />
    Какой-то текст...<br />
    тут html-inj --> <script>document.cookie='dsds=;';alert(document.cookie);</script><br />
    снова какой-то текст<br />
    объявление куки --><script>document.cookie='dsds=<?echo $_COOKIE['dsds'];?>;';</script>
    Все это сохранить как php и запустить. Хотя видно и из кода - на месте инъекции куки пустые. Но сразу и минус этого способа - соответственно внизу каждой страницы явой объявляются куки снова. А это не есть гуд.

    У кого еще какие есть идеи или способы? Помню была речь о том, что как-то в IE можно обезопасится, там можно было запретить jscript`у работать с куками. Напомните, пожалуйста.
     
    _________________________