November Black Friday C/C++ week
Black Friday je tu! Využij jedinečnou příležitost a získej až 80 % znalostí navíc zdarma! Více zde
Pouze tento týden sleva až 80 % na e-learning týkající se C/C++

Diskuze: XSS obrana

Aktivity (2)
Avatar
Jiří Hrdina:28. srpna 13:29

Zdravím,
je zde někdo, kdo by mi mohl poradit s implementací ochrany proti XSS? Potřebuji do aplikace dodělat ochranu proti XSS, ale nikdy jsem to nedělal a docela v tom plavu. Používám jQuery a normální javascript na frontendu.

Přečetl jsem si tento článek:
https://cheatsheetseries.owasp.org/…t_Sheet.html

Nicméně prakticky to není tak jednoduché.

Server
Na serveru jsem definoval následující hlavičky:
Content-Security-Policy
X-XSS-Protection 1; mode=block
X-Conent-Type-Options sniff

Na Front-endu jsem našel tuto knihovnu
https://github.com/…filters/wiki
Tu používám na escapování všech příchozích dat

Je to dostatečná ochrana proti XSS? Neměl by být definovány nějaké další opatření? Jakože nějaký whitelist? Třeba, že javascript: není povolen atd? Jak řešíte vy XSS?

Děkuji

 
Odpovědět
28. srpna 13:29
Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!
Avatar
Peter Mlich
Člen
Avatar
Peter Mlich:29. srpna 10:54

To ti nezavidim. Ja bych se XSS vyhnul. Je to dalsi level, ktery musis navic osetrovat proti php kodu, treba. Cokoliv budes pridavat, musis si pohlidat o jeden level navic. Snadno udelas chybu.

 
Nahoru Odpovědět
29. srpna 10:54
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.