Zum Hauptinhalt springen
Dev

Vermeiden Sie DOM-basierte Cross-Site-Scripting-Schwachstellen mit vertrauenswürdigen Typen




zusammenhängende Posts
  1. Funktionen der Qualitätsabteilung im Unternehmen
  2. Unterstützt Elementor Shortcodes?
  3. Shortcode-Widget
  4. ✅ Gelöst: Ausnahmecode 0xc0000409 Fehler

Reduzieren Sie die DOM XSS-Angriffsfläche Ihrer Anwendung.

Es erscheint in:
Gesichert und geladen

Warum sollte es dich interessieren?

DOM-basiertes Cross-Site-Scripting (DOM XSS) ist eine der häufigsten Sicherheitslücken im Web und lässt sich sehr einfach in Ihre Anwendung einführen. Vertrauensarten
Sie erhalten die Tools zum Schreiben, Überprüfen der Sicherheit und zum Freihalten von Anwendungen von DOM XSS-Schwachstellen, indem gefährliche Web-API-Funktionen standardmäßig sicher gemacht werden. Vertrauensarten sind mit Chrome 83 und kompatibel Polyfüllung Es ist für andere Browser verfügbar. Sehen Browser-Kompatibilität Aktuelle Informationen zur browserübergreifenden Kompatibilität.

Schlüsselbegriff:
DOM-basiertes Cross-Site-Scripting tritt auf, wenn die Daten eines Benutzers gesteuert werden
Quelle (wie Benutzername oder Weiterleitungs-URL aus dem URL-Snippet) erreicht a sinken, das ist eine Funktion wie eval () oder ein Immobilienersteller wie
.innerHTML, die beliebigen JavaScript-Code ausführen können.

Hintergrund

Für viele Jahre DOM XSS
Es war eine der häufigsten und gefährlichsten Sicherheitslücken im Internet.

Es gibt zwei unterschiedliche Gruppen von Cross-Site-Scripting. Einige XSS-Schwachstellen werden durch serverseitigen Code verursacht, der den HTML-Code, aus dem die Website besteht, unsicher erstellt. Andere haben eine Grundursache im Client, wo der JavaScript-Code gefährliche Funktionen mit benutzergesteuerten Inhalten aufruft.

ZU Vermeiden Sie serverseitiges XSSBitte generieren Sie kein HTML durch Verkettung von Zeichenfolgen und verwenden Sie sichere Vorlagenbibliotheken mit kontextbezogener automatischer Escape-Funktion. Benutze einen Nonce-basierte Inhaltssicherheitsrichtlinie zur zusätzlichen Minderung von Fehlern, die unvermeidlich auftreten.

Jetzt kann ein Browser auch dazu beitragen, clientseitiges XSS (auch bekannt als DOM-basiert) mit zu verhindern Vertrauensarten.

Einführung in die API

Vertrauensarten blockieren die folgenden Funktionen der Risikosenke. Möglicherweise erkennen Sie bereits einige davon, z. B. Browser-Anbieter und Webframes distanziert Sie bereits aus Sicherheitsgründen von der Verwendung dieser Funktionen.

hero-7923897-5622351-jpg Dev

CSS-Variablen Superkräfte verleihen

R Digitales Marketing
R Digitales Marketing22/10/2022
hero-2836929-1047989-jpg Dev

Beheben Sie einen überlasteten Server

R Digitales Marketing
R Digitales Marketing22/10/2022
Leuchtturm-Logo-5769199-svg_-3706970-svgxml Dev

Was ist neu in Lighthouse 6.0?

R Digitales Marketing
R Digitales Marketing20/10/2022
R Marketing Digital