HTML Escape

Niyə HTML Escape ؟

HTML escape, ve ya HTML kodlaşdırması, veb təhlükəsizliyində çox vacib bir rol oynayan bir prosesdir. Bu proses, veb sayt və ya veb tətbiqi tərəfindən istifadəçidən qəbul edilən məlumatların, məsələn, forumlardakı şərhlər, axtarış qutularına daxil edilən sorğular və ya əlaqə formalarındakı məlumatlar, HTML kodunun bir hissəsi kimi deyil, adi mətn kimi şərh edilməsini təmin edir. HTML escape olmadan, zərərli istifadəçilər veb saytın təhlükəsizliyini pozan və istifadəçilərə zərər verən kodları sayta yerləşdirə bilərlər.

HTML escape-in əsas məqsədi, brauzerin HTML etiketlərini və xüsusiyyətlərini (attributes) düzgün şəkildə şərh etməsini təmin etməkdir. Məsələn, əgər bir istifadəçi bir formaya "" kimi bir mətn daxil etsə, HTML escape olmadan brauzer bu mətnin bir HTML etiketi olduğunu düşünəcək və JavaScript kodunu icra edəcək. Bu, XSS (Cross-Site Scripting) hücumuna səbəb ola bilər. XSS hücumları, zərərli kodun digər istifadəçilərin brauzerlərində icra edilməsinə imkan verir, nəticədə istifadəçilərin cookie-lərini oğurlamaq, onları zərərli saytlara yönləndirmək və ya veb saytın görünüşünü dəyişdirmək kimi zərərli əməliyyatlar həyata keçirilə bilər.

HTML escape, xüsusi simvolları onların HTML ekvivalentləri ilə əvəz etməklə işləyir. Ən çox istifadə olunan əvəzetmələrdən bəziləri bunlardır:

* `<` (kiçikdir işarəsi) `<` ilə

* `>` (böyükdür işarəsi) `>` ilə

* `&` (ampersand) `&` ilə

* `"` (qoşa dırnaq) `"` ilə

* `'` (tək dırnaq) `'` və ya `'` ilə

Bu əvəzetmələrin tətbiqi, brauzerin istifadəçi tərəfindən daxil edilən məlumatları HTML etiketi kimi şərh etməsinin qarşısını alır. Beləliklə, yuxarıdakı nümunədə, "" mətninin HTML escape-dən keçdikdən sonra görünüşü "<script>alert('Hacked!')</script>" olacaq. Brauzer bu mətni adi mətn kimi göstərəcək və JavaScript kodu icra olunmayacaq.

HTML escape-in tətbiqi, veb tətbiqinin müxtəlif səviyyələrində həyata keçirilə bilər, məsələn, server tərəfində, müştəri tərəfində və ya şablon mühərriklərində. Server tərəfində HTML escape, məlumat bazasına yazılmadan əvvəl və ya istifadəçiyə göstərilmədən əvvəl həyata keçirilə bilər. Müştəri tərəfində HTML escape, JavaScript istifadə edərək həyata keçirilə bilər. Şablon mühərrikləri, məsələn, Jinja2 (Python üçün) və ya Blade (PHP üçün), avtomatik olaraq HTML escape-i tətbiq edə bilərlər.

HTML escape-in düzgün tətbiqi, veb saytın təhlükəsizliyini artırmaq üçün vacib bir addımdır, lakin bu, təhlükəsizliyin yeganə tədbiri deyil. Digər təhlükəsizlik tədbirləri, məsələn, giriş məlumatlarının yoxlanılması (input validation), çıxış kodlaşdırması (output encoding) və Content Security Policy (CSP) istifadəsi də vacibdir. Giriş məlumatlarının yoxlanılması, yalnız gözlənilən formatda olan məlumatların qəbul edilməsini təmin edir. Çıxış kodlaşdırması, məlumatların istifadə edildiyi kontekstdən asılı olaraq düzgün şəkildə kodlaşdırılmasını təmin edir. CSP, brauzerin hansı mənbələrdən məzmun yükləyə biləcəyini məhdudlaşdırmaqla XSS hücumlarının qarşısını almağa kömək edir.

Nəticə olaraq, HTML escape, veb tətbiqlərinin təhlükəsizliyini təmin etmək üçün əsas bir tədbirdir. Bu, istifadəçi tərəfindən daxil edilən məlumatların zərərli kod kimi şərh edilməsinin qarşısını alır və XSS hücumlarının riskini azaldır. HTML escape-in düzgün tətbiqi, veb saytın istifadəçilərinin məlumatlarının qorunmasına və veb saytın nüfuzunun qorunmasına kömək edir. Lakin, unutmaq olmaz ki, HTML escape təhlükəsizliyin yeganə həll yolu deyil və digər təhlükəsizlik tədbirləri ilə birlikdə tətbiq edilməlidir.