Ceci est le code côté client pour échapper à des données non fiables avant qu'il ne devienne exponentiellement plus importante.
Bon encodage de sortie contextuelle est le principal moyen et le plus efficace pour lutter contre la Cross-Site Scripting (XSS).
Il est important d'utiliser les règles d'échappement du contexte actuel de ne pas permettre à un attaquant de sortir de ce contexte.
La raison pour laquelle le codage de sortie est très important parce que HTML est, par nature, mélange de code et de données; donc un attaquant peut déguiser code comme des données et que le code peut être exécuté involontairement par d'autres utilisateurs.
En codant des données non fiables dans le contexte correct tout en construisant dynamiquement parties du DOM ou en écrivant sur le JavaScript, les développeurs peuvent atténuer efficacement les attaques XSS DOM-Basé.
Côté client encodage contextuelle a des responsabilités à ceux qui se chargent de données des services 3ème partie et afficher que les données sur leur page.
Le client n'a aucun contrôle sur l'intégrité des données envoyées à eux dans la plupart des cas, il est donc important que lors du rendu des données à partir d'une source non fiable, comme une webservice publique, que le développeur soit capable d'encoder des données non fiables que pour l'utilisation dans le bon contexte
Ce qui est nouveau dans cette version:..
- Version initiale
Exigences :
- Javascript sur côté client
- jQuery
Commentaires non trouvées