Estoy creando un sitio web que solo utiliza la API REST para todas las funciones y funcionalidades, desde el registro y el inicio de sesión hasta la obtención de datos y el llenado de la página web con Moustache como motor de plantilla para los objetos.
La autenticación se basa en el token, en el que el token se agrega dinámicamente al encabezado utilizando las funciones de JS para evitar el ataque CSRF. Todas las funciones al interactuar con los datos de entrada del usuario tienen desinfectantes para evitar el ataque XSS. Básicamente, cada acción válida tiene una función JS asociada asociada con la protección XSS y CSRF habilitada.
¿Qué sucede si un usuario desea omitir estas funciones y ejecutar sus propias funciones desde la consola realizando las mismas acciones sin las protecciones XSS? Una opción es implementar la protección XSS del lado del servidor.
Y ahora, si alguien trata de engañar a los usuarios para que peguen un código JS en la consola, que esencialmente tiene acceso a tokens de autenticación y puede realizar solicitudes no deseadas que pueden dañar al usuario. ¿Cómo mitigar este ataque o hay una manera de prevenir o identificar tales acciones?