Quanto è efficace Caja nel prevenire l'XSS?

4

Recentemente ho trovato Caja che sembra un modo efficace per prevenire l'XSS. Dal loro sito :

The Caja Compiler is a tool for making third party HTML, CSS and JavaScript safe to embed in your website. It enables rich interaction between the embedding page and the embedded applications. Caja uses an object-capability security model to allow for a wide range of flexible security policies, so that your website can effectively control what embedded third party code can do with user data.

e anche :

Caja turns a piece of Web content -- roughly, a snippet of HTML, CSS and JavaScript that you would see within the body tag of an HTML page -- into a Caja module. This module is represented as a single JavaScript module function that can be run within a Caja container.

Questo significa che l'uso di Caja I potrebbe dare a un utente la possibilità di inserire HTML / CSS senza doversi preoccupare dei possibili attacchi XSS?

    
posta Abe Miessler 02.09.2013 - 17:41
fonte

1 risposta

2

Secondo me dipende totalmente se stai usando Caja, o se hai anche un linguaggio di back-end.

Il motivo per cui dico è che potresti avere qualcosa come un modulo di ricerca sul back-end che non disinfetta i dati, quindi potrebbe essere prodotta una stringa maliziosa e ben formata, causando un XSS (o altri attacchi).

Se stai parlando di quanto Caja sia efficace nel prevenire l'XSS dal suo lato, allora da quello che ho letto sembra abbastanza buono, ma non l'ho mai usato personalmente, tuttavia ne ho sentito parlare bene.

    
risposta data 04.09.2013 - 10:57
fonte

Leggi altre domande sui tag