La prevenzione XSS è sufficiente solo sul frontend per i servizi JSON? [duplicare]

1

Abbiamo un'applicazione con un modulo in cui l'utente può inserire un commento. Il modulo viene inviato utilizzando AJAX. I valori vengono letti anche tramite AJAX e restituiti dal backend come JSON e quindi analizzati da JavaScript per presentarlo sulla pagina.

Questo modulo era vulnerabile agli attacchi XSS, quindi abbiamo protetto l'applicazione solo sul frontend, evitiamo i caratteri HTML e JavaScript quando analizziamo la risposta JSON.

Pensiamo che non ci sia bisogno di fare cose simili sul back-end, cioè di sfuggire ai personaggi rischiosi prima di memorizzarli nel DB, perché la risposta JSON sarà sempre analizzata dal frontend prima del rendering.

L'approccio corretto o la minaccia o l'attacco sono ancora possibili?

    
posta dzieciou 09.10.2014 - 16:18
fonte

1 risposta

4

Sì, c'è un possibile attacco: un giorno cambierai il frontend e smetteresti di usare JSON e inizierai a usare qualcos'altro. L'XSS memorizzato nel database entra in gioco e gli utenti vengono attaccati.

È una buona pratica sanare l'input dell'utente il prima possibile. Li disinfetto sempre non appena raggiunge il mio codice.

    
risposta data 09.10.2014 - 16:27
fonte

Leggi altre domande sui tag