#webdev #angularjs Cze, Jako, że z frontendem nie mam często do czynienia to mam pytanko. Świta mi w głowie, że jak są na stronie jakieś inputy tak jak np. tutaj na wykopie podczas pisania tego wpisu, można dodać jakieś cuda skryptowe, a chciałbym się przed tym zabezpieczyć. Poratujecie jakimiś linkami/poradami?
@pulla: to jest kwestia backendu jak będziesz parsował input. Wszystkie zabezpieczenia frontendowe można ominąć robiąc zapytanie zwykłym curlem i jak nie masz zabezpieczeń w backendzie to lipa
@pulla: po prostu filtracja inputu po stronie backendu i tyle, czy to na poziomie walidacji modelu podczas wrzucania do bazy czy przed tworzeniem modelu czy nawet na poziomie samego requesta przed wykonaniem routea
@pulla: Słuchaj @MirkoStats: Zabezpieczenie tylko po froncie jest słabe, bo jak MirkoStats wspomniał można wysłać curla i wtedy xss się powiedzie. Tak samo można wysłać formularz bez jsowej obsługi, bądź puścić zapytnie post/get w inny dowolny sposób. Filtracja powinna być na stronie backendowej, po froncie to kwestia gustu i specyfikacji (np. walidowanie formularza przed wysyłką jsem, a potem drugie już po stronie backendowej pozwala na mniejsze obciążenie serwera
MirkoStats wspomniał można wysłać curla i wtedy xss się powiedzie. Tak samo można wysłać formularz bez jsowej obsługi, bądź puścić zapytnie post/get w inny dowolny sposób.
@isamaul: Ok rozumiem, dzięki. A są jakieś gotowe mechanizny sprawdzające taki input? W backendzie mam jave.
@pulla: niestety w javie nie znam, gardzę tym językiem ( ͡°ʖ̯͡°) Jeżeli korzystasz z jakiegoś frameworka, to powinien mieć on obsługę walidacji/filtrowania danych wejściowych
Cze,
Jako, że z frontendem nie mam często do czynienia to mam pytanko. Świta mi w głowie, że jak są na stronie jakieś inputy tak jak np. tutaj na wykopie podczas pisania tego wpisu, można dodać jakieś cuda skryptowe, a chciałbym się przed tym zabezpieczyć. Poratujecie jakimiś linkami/poradami?
@MirkoStats:
Zabezpieczenie tylko po froncie jest słabe, bo jak MirkoStats wspomniał można wysłać curla i wtedy xss się powiedzie. Tak samo można wysłać formularz bez jsowej obsługi, bądź puścić zapytnie post/get w inny dowolny sposób.
Filtracja powinna być na stronie backendowej, po froncie to kwestia gustu i specyfikacji (np. walidowanie formularza przed wysyłką jsem, a potem drugie już po stronie backendowej pozwala na mniejsze obciążenie serwera
@isamaul: Ok rozumiem, dzięki. A są jakieś gotowe mechanizny sprawdzające taki input? W backendzie mam jave.
Jeżeli korzystasz z jakiegoś frameworka, to powinien mieć on obsługę walidacji/filtrowania danych wejściowych
Tak na szybko w google znalazłem coś takiego
http://codehustler.org/blog/jersey-cross-site-scripting-xss-filter-for-java-web-apps/