Geek tričko zdarma Geek tričko zdarma
Tričko zdarma! Stačí před dobitím bodů použít kód TRIKO15. Více informací zde

Diskuze: XSS obrana

Aktivity (2)
Avatar
Jiří Hrdina:28. srpna 13:29

Zdravím,
je zde někdo, kdo by mi mohl poradit s implementací ochrany proti XSS? Potřebuji do aplikace dodělat ochranu proti XSS, ale nikdy jsem to nedělal a docela v tom plavu. Používám jQuery a normální javascript na frontendu.

Přečetl jsem si tento článek:
https://cheatsheetseries.owasp.org/…t_Sheet.html

Nicméně prakticky to není tak jednoduché.

Server
Na serveru jsem definoval následující hlavičky:
Content-Security-Policy
X-XSS-Protection 1; mode=block
X-Conent-Type-Options sniff

Na Front-endu jsem našel tuto knihovnu
https://github.com/…filters/wiki
Tu používám na escapování všech příchozích dat

Je to dostatečná ochrana proti XSS? Neměl by být definovány nějaké další opatření? Jakože nějaký whitelist? Třeba, že javascript: není povolen atd? Jak řešíte vy XSS?

Děkuji

 
Odpovědět 28. srpna 13:29
Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!
Avatar
Peter Mlich
Člen
Avatar
Peter Mlich:29. srpna 10:54

To ti nezavidim. Ja bych se XSS vyhnul. Je to dalsi level, ktery musis navic osetrovat proti php kodu, treba. Cokoliv budes pridavat, musis si pohlidat o jeden level navic. Snadno udelas chybu.

 
Nahoru Odpovědět 29. srpna 10:54
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.