IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
Jiří Hrdina
Člen
Avatar
Jiří Hrdina:28.8.2019 13:29

Zdravím,
je zde někdo, kdo by mi mohl poradit s implementací ochrany proti XSS? Potřebuji do aplikace dodělat ochranu proti XSS, ale nikdy jsem to nedělal a docela v tom plavu. Používám jQuery a normální javascript na frontendu.

Přečetl jsem si tento článek:
https://cheatsheetseries.owasp.org/…t_Sheet.html

Nicméně prakticky to není tak jednoduché.

Server
Na serveru jsem definoval následující hlavičky:
Content-Security-Policy
X-XSS-Protection 1; mode=block
X-Conent-Type-Options sniff

Na Front-endu jsem našel tuto knihovnu
https://github.com/…filters/wiki
Tu používám na escapování všech příchozích dat

Je to dostatečná ochrana proti XSS? Neměl by být definovány nějaké další opatření? Jakože nějaký whitelist? Třeba, že javascript: není povolen atd? Jak řešíte vy XSS?

Děkuji

 
Odpovědět
28.8.2019 13:29
Avatar
Peter Mlich
Člen
Avatar
Peter Mlich:29.8.2019 10:54

To ti nezavidim. Ja bych se XSS vyhnul. Je to dalsi level, ktery musis navic osetrovat proti php kodu, treba. Cokoliv budes pridavat, musis si pohlidat o jeden level navic. Snadno udelas chybu.

 
Nahoru Odpovědět
29.8.2019 10:54
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.