20:56 Как не дать разместить вредоносный код пользователям сайта | |
| Если посетители вашего сайта могут загружать файлы или текст на ваш сайт, вредоносный код может оказаться в загруженном контенте (умышленно или случайно). 1. Защищайтесь от ботов. Для защиты от роботов-взломщиков можно использовать специальные плагины к CMS или искать IP-адреса пользователей в черных списках. 2. Проверяйте данные, которые могут ввести пользователи. • Не давайте возможности вставлять JavaScript-код внутри <script>, в тегах или ссылках. • Не вставляйте напрямую на страницы сайта код в тегах <iframe>, <object>, <embed>, и не подгружайте файлы .jar, .swf и .pdf (с их помощью сайт может генерировать такие теги автоматически). • Поддерживайте «белый список» разрешённых HTML-тегов, чтобы без дополнительной обработки отбрасывать все остальные. • Проверяйте вставленные пользователями ссылки, например, через Safe Browsing API Яндекса. Источник: https://yandex.ru/support/webmaster/security/protecting-site.xml#concept2 | |
|
| |
| Всего комментариев: 0 | |
