Kapitel 28. Verteidigung gegen XSS-Angriffe
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In Kapitel 10 haben wir XSS-Angriffe besprochen, die sich die Fähigkeit des Browsers zunutze machen, JavaScript-Code auf den Geräten der Nutzer/innen auszuführen. XSS-Schwachstellen sind weit verbreitet und können erheblichen Schaden anrichten, da Schwachstellen bei der Skriptausführung ein breites Spektrum an potenziellem Schaden haben.
Obwohl XSS im Internet häufig vorkommt, ist es zum Glück recht einfach, es durch bewährte Methoden zur sicheren Programmierung und XSS-spezifische Abwehrtechniken einzudämmen oder ganz zu verhindern. In diesem Kapitel geht es um den Schutz deiner Codebasis vor XSS.
Bewährte Methoden zur Anti-XSS-Codierung
Eine wichtige Regel, die du in deinem Entwicklungsteam einführen kannst, um die Wahrscheinlichkeit von XSS-Schwachstellen drastisch zu verringern, lautet: "Erlaube nicht, dass vom Benutzer gelieferte Daten in das DOM übertragen werden - außer als Strings."
Diese Regel ist nicht auf alle Anwendungen anwendbar, da viele Anwendungen Funktionen haben, die eine Datenübertragung vom Benutzer zum DOM beinhalten. In diesem Fall können wir die Regel genauer formulieren: "Erlaube niemals, dass vom Benutzer bereitgestellte Daten unkontrolliert in das DOM übertragen werden."
Das Auffüllen des DOM mit nutzerdefinierten Daten sollte nur als letzte Möglichkeit und nicht als erste Option ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
