私はかなりのJavaScriptとjQueryを使用している電子商取引アプリケーションに取り組んでいます。何かが処理される前にすべてがサーバー側でチェックされていますが、最近はJavaScriptを使用したWebベースの侵入に関するニュースがたくさんあります。この脅威を減らすために私ができることのタイプと、これに関する情報を持った良いウェブサイトがあれば、私は思っていました。JavaScriptのセキュリティ上の問題?
ありがとうございます!ここで
はXSSについて読むには良いのリンクです: https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
基本的には、どのような彼らはXSSを使用する場合、「ハッカー」はやろうとしていることは、あなたのサイトが安全な何かのためにそれらを求めていると思うし、ユーザーを取得しています、本当に "ハッカー"があなたのサイトにスクリプトを挿入することによって尋ねてきたときに、そのデータを安全でない場所に送信しているときです。多くの味があります。
通常の予防手段は、データをサニタイズすることです(「ハッカー」はデータ入力によってスクリプトを挿入できません)。基本的には、動的に作成されたものやユーザーからのもの(自分のコンテンツの人さえも)は、スクリプトなどを実行できないようにエンコードする必要があります。
多くの人がXSSの目標について混乱しているようです。あなたのサーバーとそのデータが保護する唯一のものだと考えるなら、あなたは間違っています。 XSSは、サーバではなくユーザからのものであり、サーバ(またはその所有者)ではなくユーザからの盗み出しを試みています。ユーザーからの盗みは、結果的にサーバーから盗み出すことになります(ユーザーの資格情報を取得して、ユーザーを偽装する買い物に行く)。
チェックアウトGoogle Gruyere。これは、Webアプリケーションの一般的なセキュリティ問題をよりよく理解するために利用できる、多くのセキュリティホールを持つ偽のWebサイトに関するチュートリアルです。 XSSやその他のJavaScriptで発生する可能性のある問題と、サーバーサイドの問題があります。
javascriptが何かを操作してからサーバー/データベースに戻されない限り、セキュリティが侵害されることはありません。それは単にjavascriptの場合は、あなたのサーバーに害を与えることはできません。 –
@thepristinedesign:本当ですか?クロスサイトスクリプティング攻撃とは何ですか? –
サーバーサイドの基本的なすべてを検証し、重要なことを何も傍受して変更することができないようにします。 – Alexcp