Zum Hauptinhalt springen
Dev

Vermeiden Sie DOM-basierte Cross-Site-Scripting-Schwachstellen mit vertrauenswürdigen Typen




zusammenhängende Posts
  1. Funktionen der Qualitätsabteilung im Unternehmen
  2. Unterstützt Elementor Shortcodes?
  3. Shortcode-Widget
  4. ✅ Gelöst: Ausnahmecode 0xc0000409 Fehler

Reduzieren Sie die DOM XSS-Angriffsfläche Ihrer Anwendung.

Es erscheint in:
Gesichert und geladen

Warum sollte es dich interessieren?

La secuencia de comandos de sitios cruzados basada en DOM (DOM XSS) es una de las vulnerabilidades de seguridad Netz más comunes, y es muy fácil introducirla en su aplicación. Vertrauensarten
Brindarle las herramientas para escribir, revisar la seguridad y mantener aplicaciones libres de vulnerabilidades DOM XSS al hacer que las peligrosas funciones de la API web sean seguras de manera predeterminada. Los tipos de confianza son compatibles con Chrome 83 y Polyfüllung está disponible para otros Browser. Sehen Browser-Kompatibilität Aktuelle Informationen zur browserübergreifenden Kompatibilität.

Schlüsselbegriff:
Las secuencias de comandos entre sitios basadas en DOM ocurren cuando los datos de un Nutzername controlan
Quelle (como el nombre de usuario o la Url de redireccionamiento tomada del fragmento de URL) alcanza un sinken, das ist eine Funktion wie eval () oder ein Immobilienersteller wie
.innerHTML, que puede ejecutar código JavaScript arbitrario.

Hintergrund

Für viele Jahre DOM XSS
Es war eine der häufigsten und gefährlichsten Sicherheitslücken im Internet.

Hay dos grupos distintos de secuencias de comandos entre sitios. Algunas vulnerabilidades XSS son causadas por el código del lado del Server que crea de manera insegura el código HTML que forma el sitio web. Otros tienen una causa raíz en el Klient, donde el código JavaScript llama a funciones peligrosas con Inhalt controlado por el usuario.

ZU Vermeiden Sie serverseitiges XSSBitte generieren Sie kein HTML durch Verkettung von Zeichenfolgen und verwenden Sie sichere Vorlagenbibliotheken mit kontextbezogener automatischer Escape-Funktion. Benutze einen Nonce-basierte Inhaltssicherheitsrichtlinie zur zusätzlichen Minderung von Fehlern, die unvermeidlich auftreten.

Ahora, un Browser también puede ayudar a prevenir los XSS del lado del cliente (también conocidos como basados ​​en DOM) con Vertrauensarten.

Einführung in die API

Vertrauensarten blockieren die folgenden Funktionen der Risikosenke. Möglicherweise erkennen Sie bereits einige davon, z. B. Browser-Anbieter und Webframes distanziert Sie bereits aus Sicherheitsgründen von der Verwendung dieser Funktionen.