Профилактика инъекций JavaScript: с чего начать?

Question

Я работаю над новым веб-сайтом (ASP.NET, Web Forms, C #), и мне нужно включить защиту от атак внедрения Javascript.У кого-нибудь есть хорошие ссылки о том, как создать сайт, защищенный от подобных атак?

Спасибо

Answer 1

Вам нужно развернуть правильное подтверждение ввода на всем, что вы читаете с ваших клиентов.

OWASP имеет отличную сводку этого здесь:

https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet

По сути, вы захотите создать белый список (обычно некоторые регулярные выражения для всего, что пользователи должны иметь возможность отправлять / отправлять в ваше приложение), а затем принимать только белый список.Хорошей практикой является сделать это, но бросить черный список перед белым списком. В основном, ищите известные плохие вещи, такие как теги сценариев Javascript, и отклоняйте их (это часть черного списка).Затем передайте то, что есть, чтобы убедиться, что контент, который вы должны видеть и можете безопасно обрабатывать, и разрешать его, только если это так.

Answer 2

Межсайтовый скриптинг (XSS) - это название уязвимости, о которой вы беспокоитесь. Читайте об этом на OWASP и ознакомьтесь с их XSS Prevention Cheat Sheet

Пока вы там, просмотрите их Десятку самых распространенных уязвимостей веб-приложений и рассмотрите другие атаки / слабые стороны, от которых нужно защититься.