Toto je na straně klienta kód, aby se vyhnuli nedůvěryhodný dat, než se stane exponenciálně mnohem důležitější.
Správné kontextová kódování výstup je primární a nejefektivnější způsob, jak bojovat proti Cross-Site Scripting (XSS) útoky.
Je důležité používat unikající pravidla aktuálního kontextu neumožňuje útočníkovi, aby se vymanily z tohoto kontextu.
Důvod, že kódování výstup je tak důležité, je to, že HTML, svou povahou, směšuje kód a data; Takto útočník může zamaskovat kód jako údajů a že kód může být vykonán neúmyslně jinými uživateli.
Tím, kódování nedůvěryhodné údaje ve správném kontextu, zatímco dynamicky budování části DOM, nebo psát ven JavaScript, vývojáři mohou účinně zmírnit DOM-Based XSS útokům.
Na straně klienta kontextuální kódování má odpovědnost k těm, kteří načíst data ze služby 3. stran a zobrazení, že údaje na jejich straně.
Klient nemá žádnou kontrolu nad integritou dat zaslaných na ně ve většině případů, a proto je důležité, než při vykreslování dat z nedůvěryhodného zdroje, jako je například veřejný WebService, že developer moci zakódovat, že nedůvěryhodných údajů pro účely ve správném kontextu
Co je nového v této verzi:..
- První vydání
Požadavky na :
- , povolte JavaScript na straně klienta
- jQuery
Komentáře nebyl nalezen