|
גם אני קצת ספקני בעניין. אתה טוען שאתה חוסם XSS בעזרת קובץ אינקלוד אחד? לחסום את הכל זה לא בעיה, פשוט לעבור על כל מה שמתקבל מהשתמש ולסנן HTML, אבל הבעיה מתחילה כשמשתמשים בעורכי טקסטים עם HTML ואתה כן רוצה לקבל HTML מהמשתמש, אז אתה חוסם את זה.
נקודה נוספת, ייבוא קבצים מרוחקים - איך אתה אמור לחסום את זה? אם אתה חוסם את כל האינקלודים לשרתים מרוחקים אז שוב יכולה להיווצר פה בעיה כשכן תרצה לאנקלד משרת מרוחק. וגם אם אתה מאנקלד לפי מה שאתה מקבל מהשתמש אז עדיין המשתמש יכול לאנקלד דף על השרת שלך שאתה לא רוצה שיופעל, ואת זה אי אפשר לחסום.
דבר אחרון - פישיניג. אם כך אז כל משתמש שיופנה לאתר עם REFFER אתה תבדוק את המקור של המפנה, וזה יצרוך משאבים עצומים והמון תעבורה, וגם יאיט בצורה ניכרת את הגלישה באתר.
בקיצור, מה שאתה מתאר פה - אבטחה עם include אחד - זה פשוט בלתי אפשרי, צריך לעבור על הקוד של האתר ולאבטח, קיצורי דרך כאלה זה מתכון לצרות...
|