Passer au contenu principal
Dev

Évitez les vulnérabilités de script intersite basées sur DOM avec des types approuvés




Articles Similaires
  1. Fonctions du service qualité dans l'entreprise
  2. Elementor prend-il en charge les codes courts?
  3. Widget de code court
  4. ✅ Résolu : Code d'exception 0xc0000409 Erreur

Réduisez la surface d'attaque DOM XSS de votre application.

Il apparaît dans:
Sûr et sécurisé

Pourquoi devriez-vous vous en soucier?

La secuencia de comandos de sitios cruzados basada en DOM (DOM XSS) es una de las vulnerabilidades de seguridad la toile más comunes, y es muy fácil introducirla en su aplicación. Types de confiance
Brindarle las herramientas para escribir, revisar la seguridad y mantener aplicaciones libres de vulnerabilidades DOM XSS al hacer que las peligrosas funciones de la API web sean seguras de manera predeterminada. Los tipos de confianza son compatibles con Chrome 83 y polyfill está disponible para otros navigateurs. Regarder Compatibilité du navigateur pour obtenir des informations à jour sur la compatibilité entre navigateurs.

Terme clé:
Las secuencias de comandos entre sitios basadas en DOM ocurren cuando los datos de un Nom d'utilisateur controlan
Fontaine (como el nombre de usuario o la URL de redireccionamiento tomada del fragmento de URL) alcanza un couler, qui est une fonction comme eval () ou un créateur de propriété comme
.innerHTML, que puede ejecutar código JavaScript arbitrario.

Antécédents

Pendant de nombreuses années DOM XSS
il s'agit de l'une des vulnérabilités de sécurité Web les plus fréquentes et les plus dangereuses.

Hay dos grupos distintos de secuencias de comandos entre sitios. Algunas vulnerabilidades XSS son causadas por el código del lado del serveur que crea de manera insegura el código HTML que forma el sitio web. Otros tienen una causa raíz en el client, donde el código JavaScript llama a funciones peligrosas con Contenu controlado por el usuario.

À éviter XSS côté serveurVeuillez ne pas générer de HTML par concaténation de chaînes et utiliser des bibliothèques de modèles sécurisées avec échappement automatique contextuel. Utiliser un Politique de sécurité du contenu non basée sur la sécurité pour une atténuation supplémentaire contre les erreurs qui se produisent inévitablement.

Ahora, un le navigateur también puede ayudar a prevenir los XSS del lado del cliente (también conocidos como basados ​​en DOM) con Types de confiance.

Introduction à l'API

Les types d'approbation fonctionnent en bloquant les fonctions de puits de risque suivantes. Vous pouvez déjà reconnaître certains d'entre eux, tels que les fournisseurs de navigateurs et cadres Web vous empêche déjà d'utiliser ces fonctionnalités pour des raisons de sécurité.