Не следует ли мне следовать рекомендациям XSS на основе OWASP DOM, независимо от того, куда вводится полезная нагрузка?

Question

Я слышал / читал в разных контекстах, что XSS на основе DOM вызван ненадежным вводом данных на стороне клиента, и разработчикам необходимо следовать инструкциям в OWASP " DOM на основе DOM XSS Prevention Chat * ", чтобы смягчить его.

Мой вопрос: не следует ли использовать это руководство независимо от того, куда внедряется вредоносная полезная нагрузка (сторона клиента, которая может быть из элементов DOM, таких как URL, или сторона сервера, которая может быть из параметров немедленных предыдущих запросов), если вы вставка ненадежных данных в контексты выполнения javascript?

Давайте оставим в стороне спор о том, будет ли он называться XSS на основе DOM или нет в последнем случае, потому что мне больше интересно знать, следует ли применять это руководство независимо от того, откуда исходит полезная нагрузка (сервер / клиент), если вы помещаете ненадежные данные в контексты выполнения.

Answer 1

Как правило, вы никогда не должны размещать неанизированный пользовательский ввод где-либо на вашем сайте. Вы не должны отображать его, вы не должны использовать его для формирования каких-либо запросов, и вы, конечно, не должны включать его. Везде, где пользователь или какая-либо третья сторона вообще вводят данные в любой форме, вы должны очистить их и спросить себя:

Как это можно использовать злонамеренно?

SQL-инъекция - это то, на что нужно обратить внимание, и, конечно, XSS также является большим, как вы упомянули. XSS внедряет код, который затем выводится, и, конечно, SQLi использует ввод для формирования запроса SQL, который может быть потенциально катастрофическим. Конечно, существует множество других атак, которые не основаны на инъекциях и не основаны на вводе пользователем, а просто очищают абсолютно все, чтобы избежать каких-либо проблем в будущем.

Надеюсь, что ответит на ваш вопрос, было немного сложно понять, что именно вы спрашивали.