Prevenzione XSS nelle applicazioni web a pagina singola

Naviga le tue risposte
0

Uno dei miei colleghi ha suggerito i seguenti metodi per proteggersi dagli attacchi XSS nella mia applicazione angular5:

  1. Abilita X-XSS-Protection header

  2. Abilita X-frame-options header

  3. Aggiunta di una corretta politica di sicurezza del contenuto per impedire l'esecuzione in linea di JavaScript.

Ma non credo che quanto sopra protegga la mia applicazione da tutti gli attacchi XSS. Ho bisogno di qualcosa di più di quanto sopra?

Nota

Sto pensando di passare il token auth all'API back-end tramite authorization header. Per fare ciò, ho bisogno di memorizzare il token nella memoria locale o in un cookie (accesso a ready by javascript).

    
posta iam batman 10.06.2018 - 13:42
fonte

1 risposta

1

But I don't think the above protect my application from all XSS attacks. Do I need to anything more than the above?

Queste intestazioni non ti proteggeranno magicamente da tutti gli attacchi XSS. X-XSS-Protection ti consente solo di sintonizzare il browser se la sua euristica rileva un potenziale XSS (solo XSS riflesso). E X-Frame-Options non riguarda affatto l'XSS ma per prevenire il clickjacking.

Finché la tua applicazione ha bisogno di Javascript non c'è semplicemente un'intestazione magica che impedisca l'XSS. Puoi limitare l'impatto del potenziale XSS con una politica di sicurezza dei contenuti rigorosa, ma in altri casi devi solo disporre di una corretta codifica, convalida e sanificazione di tutti gli input, ecc. Vedi OWASP: XS Prevention Cheat Sheet per ulteriori informazioni.

    
risposta data 10.06.2018 - 14:21
fonte

Leggi altre domande sui tag

Cracking delle password tramite hashcat o rainbow tables. Quale è più veloce? Il nome di accesso rivelatore di macOS in internet è un rischio per la sicurezza?