Denne tekst hjælper dig med at blive klogere på HTML injection – hvad er html injection, eksempel på html injection og hvordan du kan beskytte dig mod html injection.
Hvad er html injection?
Html injection fungerer meget på samme måde som SQL injection. Man indsætter noget html kode på en hjemmeside, som så bruges til at passere begrænsninger eller lave direkte om på en hjemmeside.
Html injection er som regel ret fredeligt, men det kan gå hen og give problemer, hvis hackeren fx får lavet noget om de rigtige steder, eller måske ender med at gøre ens site meget tung, da der bliver uploadet mange tunge filer
SQL injection går kort sagt ud på at man indsætter sql queries, som så kan bruges til at give indblik – ændre i databaser.
Eksempel på hvordan HTML injection virker.
På et online forum har man som regel en tekst editor, som kan nogle få ting – lave skriften fed, skråskrift, tilføje links osv. Mængden af disse funktioner varierer fra tekst editor til tekst editor.
Et eksempel kan fx være at man gerne vil sende et billede i en tråd på et forum. I det pågældende forum er der en tekst editor, hvor der ikke er funktionalitet til at tilføje billeder. I stedet kan man prøve at skrive noget html kode fx <img src=”www.enHjemmeside.dk/LækkerTøs.jpg”></img> – hvis der ikke er lukket for html injection, så vil der blive indsat et billede i tråden på det pågældende forum.
Hvordan kan man beskytte sig imod html injection?
Man kan beskytte sig mod html injection ved kode sin side, så den ikke godtager ren html. En funktion som fjerner html fra teksten, eller som måske bare indsætter koden som ren tekst, så der ikke sker nogen skade.
Hvis man har lavet sin hjemmeside i .NET, er der automatisk blokeret for html injection i tekstbokse.
Vil du læse mere om it sikkerhed? Kontakt en udvikler med erfaring i it-sikkerhed eller læs mere om sql injection.