Qual è il rischio di cross-site scripting, se incorporo javascript in un sito web? Molto semplicemente, sto usando un "site builder", e non consentono di girare le immagini, ma ti permettono di incorporare il codice ... Quindi ho pensato di farlo. Il mio sito non ha un database o altro, il sito 'site builder' potrebbe avere ... C'è un rischio?
L'incorporamento di javascript probabilmente non costituirà un problema, a meno che tu non abbia in qualche modo incorporato funzionalità che consentano lo scripting cross-site (il tuo javascript dovrebbe accettare input dal client o visualizzarlo sulla pagina) o altri dati dinamici, come qualcosa consegnato alla tua app come parte di una chiamata API). A parte questo, tu sei quello che inserisce il javascript, quindi suppongo che tu l'abbia controllato.
Sarei più preoccupato per il software di costruzione del sito che stai utilizzando. Se fornisci il nome, potremmo cercare vulnerabilità note.
Se il sito che stai costruendo memorizza l'input dell'utente (in un database per esempio) in modo insicuro e poi lo visualizza di nuovo potrebbe essere vulnerabile a XSS.
Anche se riflette l'input dell'utente che potrebbe essere utilizzato anche per XSS. Riflettendola intendo che richiede un po 'di input da parte dell'utente e lo rende immediatamente visibile sullo schermo senza memorizzarlo sul lato server. Ad esempio, sarebbe se il seguente URL:
http://mysite.com/account/[email protected]
uscita:
Thanks for confirming your account with the email: [email protected]!
A seconda di ciò che fa lo script che stai incorporando, potrebbero esserci dei rischi ma probabilmente stai bene.
I difetti XSS appaiono generalmente in scenari in cui la tua pagina carica contenuti non sicuri da una terza parte. Possono essere argomenti GET o POST, dati da un database, intestazioni HTTP, ecc.
In questo caso sembra che tu stia inserendo uno snippet di javascript nella tua pagina html. Ecco due cose di cui dovresti preoccuparti:
Mi fido di questo javascript stesso? Dai un'occhiata al javascript e assicurati che non stia facendo nulla di strano.
Questo javascript inserisce dati o codici esterni? Cerca di capire se il javascript sta eseguendo il sourcing in altri file javascript o se cerchi dati esterni dal browser o dall'utente.
Se la risposta a entrambe le domande è no, probabilmente sei a posto.
Nota: se stai inserendo il javascript con un tag src, dovresti pensare a dove vuoi ospitare quel file. Se si esegue l'origine di un server che non si controlla, tale file potrebbe cambiare in futuro e diventare dannoso o instabile.
Gli attacchi XSS (Cross Site Scripting) funzionano perché l'autore dell'attacco incorpora JavaScript nei dati ordinari e non ha quasi nulla a che fare con l'utilizzo di JavaScript sul tuo sito. La cura per XSS è di disinfettare i dati prima di memorizzarli o prima di visualizzarli. Non lasciare mai che l'utente inserisca qualcosa che possa essere immediatamente echeggiato.
JavaScript sul tuo sito non farà male o aiuterà a difendere contro XSS.
Leggi altre domande sui tag javascript xss