Sto creando un sito Web che utilizza esclusivamente API REST per tutte le funzionalità e funzionalità, dalla registrazione e accesso per il recupero dei dati e il popolamento della pagina Web utilizzando Moustache come motore di template per gli oggetti.
L'autenticazione è token in base al quale token è stato aggiunto dinamicamente all'intestazione utilizzando le funzioni JS per impedire l'attacco CSRF. Tutte le funzioni quando interagiscono con i dati di input dell'utente sono disinfettanti per prevenire l'attacco XSS. Quindi praticamente ogni azione valida ha una funzione JS associata associata con la protezione XSS e CSRF abilitata.
Che cosa succede se un utente desidera ignorare queste funzioni ed eseguire le proprie funzioni dalla console eseguendo le stesse azioni senza protezioni XSS. Un'opzione è implementare la protezione XSS lato server.
Ora, se qualcuno cerca di ingannare gli utenti per incollare del codice JS nella console che essenzialmente ha accesso ai token di autenticazione e può eseguire richieste indesiderate che possono danneggiare l'utente. Come mitigare questo attacco o esiste un modo per prevenire o identificare tali azioni?