Principalmente audito las aplicaciones web y ofrezco a las empresas medidas y recomendaciones de seguridad. Actualmente, tengo un problema con dar una recomendación correcta cuando se trata de la función Sanitize de AngularJS contra la protección XSS. Tengo dudas en decir que está bien o recomendar que la codificación de salida se aplique en el lado del servidor.
¿Puede alguien ayudarme con este problema o puede aclarar la diferencia?
tl; dr: La codificación se debe hacer en el momento en que los datos se utilizan en contexto, cuando el código está componiendo HTML, javascript, etc. a partir de datos no confiables, eso es cierto tanto si está componiendo en el servidor como en el cliente. En ese momento, usted sabe qué partes son datos y cuál es el contexto de codificación. Debe aprovechar el enlace (ng-bind) en Angular para la codificación específica del contexto. La función Sanitize de AngularJS es útil cuando necesita "sanear" un fragmento de HTML no confiable.
Detalles: Es bueno tener cuidado cuando se usa el término "desinfectar", porque diferentes bibliotecas lo usan de manera diferente: puede significar validación, canonicalización, codificación simple, análisis y codificación.
La función AngularJS Sanitize "limpia" las entradas al analizar el código HTML en tokens. Todas las fichas seguras (de una lista blanca) se vuelven a serializar a valores codificados correctamente. De esta manera se comporta de manera similar a el OWASP HTML Sanitizer Project y el antiguo proyecto OWASP Antisamy.
ver para obtener más información, visite enlace . sobre el uso de la biblioteca.
Esta es una buena manera de codificar entradas no confiables si no tiene el lujo de componer el HTML, javascript o URL desde sus partes. Sin embargo:
Entonces, donde puedas:
Lea otras preguntas en las etiquetas webserver xss protection encoding angularjs