XSSProtection

Parameter

(TestString : String; const QuoteString : Boolean = false; const ErrorWhenQuote : Boolean = false; const AllowedChars : String = '#%'; const FullTest : Boolean = true; const AttackFlags : String = '') : String;

Beschreibung

Das Ergebnis der Funktion ist der TestString, sofern dieser gültig ist. TestString ist der String der geprüft werden soll.

Über QuoteString = true werden alle Hex und Dec-Char-Elemente umgewandelt und zurückgegeben.

Da ein Hex oder Dec-Char-Element auf einen Angriff hinweist kann, sobald eines dieser Elemente gefunden wurde, eine Exception ausgelöst werden. Die Einstellung erfolgt über die Option ErrorWhenQuote.

AllowedCharsString definiert eine Liste von Zeichen - jedes der Zeichen darf auch als Dec oder Hex im TestString enthalten sein. Dieser Parameter ist nur in Verbindung mit ErrorWhenQuote verwendet.

FullTest = true führt eine maximale Prüfung des möglichen Angriffs durch.

Über den optionalen Parameter AttackFlags können individuelle Angriffsmuster übergeben werden. Die Option FullTest wird damit überschrieben. Die AngriffsFlags sind wie folgt aufgebaut: "<Muster>","..."

Ein Beispiel für AttackFlag wäre:

"script:","javascript","<script>"

Beispiel

GeflagterInhalt := XSSProtection(ValueFromJSON, false, false, '#%', true);
XSSProtection(ValueFromJSON);