Озабоченность безопасностью событий html DOM

Question

Прежде всего, все это может быть глупым вопросом ie.

Я занимаюсь разработкой веб-приложения с Laravel, но в итоге использовал тонны и тонны Jquery / javascript. Я пытался думать обо всех возможных рисках безопасности в процессе разработки, но чем больше я исследую эту топи c, тем больше меня беспокоит использование Jquery / javascript. Кажется, что динамическая c загрузка контента с использованием Jquery / javascript в целом очень плохая идея ... Но я не хочу переделывать все, так как это займет недели дополнительной разработки того, что уже разработано. Быстрый пример Допустим, у меня есть метод, прикрепленный к моему div, например,

<div class="img-container" id="{{$file->id}}" onmouseover="showImageButtons({{$file->id}})"></div>

И затем часть Javascript

function showImageButtons(id)
{
  console.log(id);
}

Когда я открываю это в браузере, я возможность изменить значение параметра, отправленного на javascript через инспектор chrome.

из этого

в этот

И на самом деле он выполняется, я вижу, как «какой-то вредоносный код» выводится на консоль. Что если бы у меня был ajax вызов сервера с этим параметром? Это пройдет? Есть что-то, чего я не понимаю, или этим серьезно так легко манипулировать?

Answer 1

Существует два основных аспекта c, которые необходимо учитывать в отношении веб-безопасности:

1. Соединение между браузером и сервером должно быть защищено (т. Е. Https), таким образом, при условии, что вы правильно настроили свой сервер, никто не может перехватить связь клиент-сервер, и вы можете обмениваться данными через AJAX.

2. На стороне сервера вы должны обрабатывать информацию, поступающую от клиент как враждебный и дезинфицирующий Это потому, что любой может отправить вам что угодно через вашу веб-страницу, даже если вы выполняете проверку ввода на стороне клиента, так как ваш код javascript выполняется клиентом и, следовательно, находится под полным контролем злоумышленника. Хотя внедрение «вредоносного кода» на одной веб-странице не является реальной атакой, если злоумышленник заставит вас сохранить этот вредоносный код на сервере и отправить его другим клиентам, он может запустить ее javascript в браузерах других ваших клиентов, и это плохо (поиск "межсайтовый скриптинг / XSS").