Предполагам, че това няма много общо с автоматичното довършване на jQueryUI, но вероятно е индикация, че някой е хакнал вашия сайт, макар и по приятелски предупредителен начин.
Това вероятно е намек, че някой е успял да получи нещо във вашата база данни като <script>alert('xssvuln');</script>
като индикация, че сайтът ви е уязвим към инжектиране на скриптове между сайтове.
Можете ли да погледнете изходния код на вашата страница на живо и да видите откъде идва предупреждението за xssvuln? Защото се съмнявам, че е автоматичното довършване или поне не директно. Ако се случи, когато използвате автоматичното довършване, бих проверил резултатите от търсенето за всичко, което търсите във вашата активна система, за да видя дали включват някакъв Javascript, поставен там от хакер, който след това вмъквате в страницата си без правилно бягство.
Като пример: ако вашият сайт позволява на вашите потребители да добавят ново съдържание и вие просто приемате всичко, което пишат, и след това го извеждате, без да извършвате никаква работа, за да го дезинфекцирате -- премахване на скриптови тагове, използване на функции като htmlspecialchars()
по време на извеждане и т.н. -- тогава трябва да осъзнаете, че на практика позволявате на всеки в интернет да добавете код към вашия сайт.
Един от начините, по които хакер бързо ще тества за XSS уязвимост на сайт, който изследва, е да намери формуляр за въвеждане на сайт и да добави код на скрипт към него, за да види дали е преминал недезинфекциран. Така че може да намерят формуляр за коментари и да напишат:
<script>alert('xssvuln');</script>
...в него. Ако след това видят страницата с коментари на сайта и вместо да видят текста <script>alert('xssvuln');</script>
на страницата (както правим тук в Stack Overflow, например), видят предупреждение на Javascript, те знаят, че вашият сайт е уязвими.
И така, моят съвет:
- Разберете откъде идва предупреждението. Вероятно това е съдържание, изпратено от потребители във вашата база данни.
- Прочетете за междусайтовия скрипт.
- Защитете вашите входове и изходи срещу този вид инжектиране на Javascript.
- Почистете вашата база данни от съществуващи атаки, ако е необходимо.
person
Matt Gibson
schedule
09.12.2013
PDO
направи живота ви много по-лесен. - person DevZer0   schedule 09.12.2013