Qualcuno conosce uno strumento sicuro di revisione del codice sorgente per jQuery / jQueryUI. Mi sono guardato un po 'in giro ma non ho trovato nulla. È troppo buono se è opensource.
Esistono pochissime vulnerabilità nel codice lato client se confrontate con altri componenti in una moderna applicazione web. Anche se si dispone di una violazione CWE-602 molto evidente, la vulnerabilità esiste a causa della mancanza di lato server controlli. Nessuno strumento di cui sono a conoscenza può rilevare le violazioni di CWE-602.
Ciò detto, il cliente non è totalmente esente da vulnerabilità. I due maggiori problemi sono le vulnerabilità del contenuto misto e basato su dom xss . Domsnitch è uno dei pochi strumenti in grado di rilevare entrambi, anche se produce anche un gran numero di falsi positivi.
Esistono anche strumenti commerciali che eseguono analisi del codice statico di JavaScript allo scopo di individuare le vulnerabilità. HP Fortify e IBM's AppScan sono esempi di questo tipo di software.
Non conosco un buon strumento di revisione del codice di sicurezza che si concentri su jQuery.
Per Javascript semplice, JavaScript: Le parti buone + JSLint è uno strumento eccellente che ti aiuterà a evitare molti bug nel tuo codice, possibilmente includendo bug di sicurezza.
Se possibile, ti consiglio di impostare un Content Security Policy (CSP) restrittivo e scrivere il tuo Javascript per conformarsi al CSP. Questo sarà probabilmente più fattibile per il nuovo codice, ma potrebbe non essere fattibile se hai già una grande quantità di codice esistente.
In particolare, ti consiglio di impostare un CSP che vieta eval e costrutti simili a eval (poiché questi sono comunemente usati impropriamente e spesso portano a vulnerabilità di sicurezza). Inoltre, se è fattibile senza costi eccessivi, escludi Javascript e Javascript inline caricati su HTTP; metti tutto lo script in un file separato, che viene caricato su HTTPS tramite un tag script src=... . Il vantaggio di CSP è che ti aiuterà a rafforzare alcuni aspetti di una disciplina di codifica che è vantaggiosa per la sicurezza. Vedi, ad esempio, come Twitter sta usando CSP e come le estensioni di Google Chrome stanno utilizzando CSP .
C'è un modo per rendere sicure le Ajax con:
Oggetti posticipati jQuery promettono callback
E crea una funzione globale e usala con l'oggetto differito .
Ma sul supporto Jquery dicono che non è in alcun modo come nascondere o proteggere il codice Jquery (js)
È il lato client che possono fare ciò che vogliono!
Il mio consiglio : consiste nell'utilizzare una variabile breve e non descrittiva quando si utilizza ajax o anche in qualsiasi funzione
Basta farlo in Facebook Way inviano /like.php?_a=1 per un like in ajax e _a = 0 per una antipatia
Leggi altre domande sui tag tools code-review