Disabilitazione delle richieste HTTP post-pageload per tenere conto di XSS

Naviga le tue risposte
0

Ho un sito web in cui JavaScript viene utilizzato per elaborare dati sensibili (messaggi di chat) sul lato client. Nessuna comunicazione viene eseguita con il server o qualsiasi altro servizio dopo il caricamento iniziale della pagina. È possibile che un partner di conversazione dell'utente possa avere intenzioni malevole e provare XSS alla conversazione. Per contrastare questo aspetto, voglio essere sicuro al 100% che l'applicazione non possa inviare messaggi dopo il caricamento iniziale della pagina, poiché è accettabile se un XSS interrompe l'applicazione JavaScript, ma non è accettabile l'invio di alcun messaggio.

C'è un modo per essere sicuro che la mia applicazione JavaScript non invierà messaggi ovunque dopo il caricamento della pagina, quando c'è la possibilità di attacchi XSS?

    
posta user101846 19.02.2016 - 11:45
fonte

1 risposta

1

No. La tua applicazione Javascript può essere modificata dall'utente finale sul proprio computer e inviare qualsiasi cosa ovunque.

Si dovrebbe verificare che il componente lato server accetti solo i messaggi chat provenienti da fonti autorizzate e che non sia possibile rendere l'applicazione Javascript un client autorizzato senza informazioni che non sono disponibili all'utente finale (ad es. un token generato dal server per inviare messaggi di chat - guarda i metodi di protezione CSRF per un esempio).

Qualsiasi cosa che gira su un sistema che non controlli può essere modificata con un tempo e uno sforzo sufficienti, quindi devi mantenere i tuoi meccanismi di protezione sui sistemi che controlli.

    
risposta data 19.02.2016 - 11:53
fonte

Leggi altre domande sui tag

Applocker Bypass prevenzione esecuzione - Parametro sessione Una terza parte può leggere passivamente le trasmissioni se è nota la chiave WEP / WPA / WPA2?