Progetteremo e implementeremo un'interfaccia utente per un grande sito web. Il proprietario del sito è molto cauto riguardo ai problemi di sicurezza. Mi chiedo se esiste una lista di controllo per i problemi di sicurezza sul lato client, durante la progettazione e la codifica in Javascript.
Non ci sarà mai una sola lista di controllo perfetta, ma ecco alcune cose che vale la pena esaminare:
Wikipedia non fa male a metà di questo
Altro per AJAX o altre interfacce ricche, ma vale la pena leggere a seconda della tua architettura - OWASP
Sembra che valga la pena di fare un giro di prova - non ho provato da solo - sandbox Javascript
Sì, nessuno di questi è un vero "checklist" - IMO quello che devi cercare nelle vulnerabilità Javascript ha molto a che fare con il modo in cui lo stai usando e il resto della tua architettura, quindi sono non sono sicuro che una lista di controllo coprirà davvero le reali preoccupazioni. Potrebbe essere meglio passare prima attraverso un'analisi dei rischi e poi vedere come ciò si traduce in come usi le varie tecnologie web come un collettivo.
Per proteggere correttamente un'applicazione web, è necessario avere una buona idea di come funzionano i browser e i server. Javascript è solo la punta dell'iceberg.
Per una revisione introduttiva (ma approfondita) della sicurezza delle applicazioni Web, raccomando il The Tangled Web di Michal Zalewski. Il libro viene fornito con liste di controllo (chiamate "schede tecniche di sicurezza") alla fine di ogni capitolo.
Leggi altre domande sui tag javascript client-side web-application appsec