2011-08-04 238 views
1

我正在研究使用相當多JavaScript和jQuery的電子商務應用程序。在處理任何事情之前,所有事情都會在服務器端進行檢查,但最近有很多關於通過JavaScript進行基於Web的闖入的新聞。我只是想知道我能做些什麼來減少這種威脅,以及是否有任何有關這方面信息的優秀網站。JavaScript安全問題?

在此先感謝!

+0

安全不會受到威脅,除非Javascript控制的東西,然後將其發送回您的服務器/數據庫。如果它只是JavaScript,那麼它不會損害您的服務器。 –

+0

@thepristinedesign:真的嗎?那麼什麼是跨站點腳本攻擊? –

+1

驗證服務器端的一切,確保沒有什麼重要的攔截和修改。 – Alexcp

回答

1

這裏閱讀有關XSS一個很好的鏈接: https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

基本上,什麼是「黑客」試圖當他們使用XSS是讓用戶覺得你的網站要求他們的東西,安全辦,當真正的「黑客」問(通過腳本注入您的網站)併發送數據到某個不安全的地方。有很多口味。

通常的預防措施來淨化你的數據(因此,對「黑客」不能注入通過數據輸入腳本)。基本上,任何動態創建或來自用戶(甚至是自己的內容人員)的內容都應該進行編碼,以便腳本等無法執行。

許多人似乎混淆XSS的目標。如果您認爲您的服務器及其上的數據是唯一需要保護的內容,那麼您就錯了。 XSS往往是針對用戶,而不是服務器,「黑客」試圖從用戶,而不是服務器(或它的所有者)竊取。竊取用戶可能會導致從服務器竊取(獲得用戶憑據,現在去購買冒充用戶的東西)。

1

退房Google Gruyere。這是一個僞造的網站上的教程,有很多安全漏洞,您可以利用它們來更好地理解Web應用程序中的常見安全問題。它涵蓋了JavaScript中可能發生的XSS和其他問題,以及一些服務器端問題。