Dit is client-side code om onbetrouwbare gegevens te ontsnappen voordat het wordt exponentieel belangrijker.
Juiste contextuele uitgang codering is de eerste en meest effectieve manier om cross-site scripting (XSS) aanvallen te bestrijden.
Het is belangrijk om de ontsnappende regels van de huidige context te gebruiken om niet toestaan dat een aanvaller om uit te breken van die context.
De reden dat de output-codering is zo belangrijk is omdat HTML, door de natuur, mengt code en data; dus kan een aanvaller code als data te verhullen en die code kunnen onbedoeld worden uitgevoerd door andere gebruikers.
Door het coderen van onbetrouwbare gegevens in de juiste context, terwijl dynamisch bouwen delen van de DOM of het schrijven van JavaScript, kunnen ontwikkelaars effectief verminderen DOM-Based XSS-aanvallen.
Client side contextuele encoding heeft verantwoordelijkheden voor degenen die data laden uit 3rd party diensten en dat de gegevens op hun pagina weer te geven.
De klant heeft geen controle over de integriteit van de data om te worden verzonden in de meeste gevallen, dus is het belangrijk dan bij het weergeven van gegevens van een vertrouwde bron, zoals een openbaar webservice, dat de ontwikkelaar kunnen coderen dat onbetrouwbare gegevens voor gebruik in de juiste context
Wat is nieuw in deze release:..
- Eerste versie
Eisen
- Javascript nodig op client side
- jQuery
Reacties niet gevonden