¿Qué tan efectiva es Caja para prevenir el XSS?

4

Recientemente encontré Caja, que parece ser una forma efectiva de prevenir XSS. Desde su sitio :

  

El Compilador de Caja es una herramienta para hacer HTML, CSS y   JavaScript seguro para incrustar en su sitio web. Permite una rica interacción   entre la página de incrustación y las aplicaciones integradas. Caja usa un   modelo de seguridad de capacidad del objeto para permitir una amplia gama de flexibilidad   políticas de seguridad, para que su sitio web pueda controlar efectivamente lo que   El código de terceros incorporado puede hacer con los datos del usuario.

y también :

  

Caja convierte un fragmento de contenido web: más o menos, un fragmento de HTML, CSS   y JavaScript que verías dentro de la etiqueta del cuerpo de una página HTML   - en un módulo de caja. Este módulo se representa como una única función de módulo de JavaScript que se puede ejecutar dentro de un contenedor de Caja.

¿Esto significa que usar Caja I podría dar a un usuario la capacidad de ingresar HTML / CSS sin tener que preocuparse por posibles ataques XSS?

    
pregunta Abe Miessler 02.09.2013 - 17:41
fuente

1 respuesta

2

En mi opinión, eso depende totalmente si solo está utilizando Caja o si también tiene un lenguaje de fondo.

La razón por la que digo esto es porque podrías tener algo así como un módulo de búsqueda en el backend que no desinfecta ningún dato, por lo que se podría generar una cadena malintencionada bien formada, lo que provocaría un XSS (u otros ataques).

Si estás hablando de cuán efectiva es Caja para prevenir XSS desde su lado, entonces, por lo que he leído, se ve bastante bien, pero nunca lo he usado personalmente, sin embargo escucho cosas buenas de ello.

    
respondido por el DarkMantis 04.09.2013 - 10:57
fuente

Lea otras preguntas en las etiquetas