Deshabilitar las solicitudes http posteriores a la carga de la página para tener en cuenta XSS

0

Tengo un sitio web donde se utiliza JavaScript para procesar datos confidenciales (mensajes de chat) en el lado del cliente. No se realiza ninguna comunicación con el servidor ni con ningún otro servicio después de la carga inicial de la página. Es posible que un interlocutor del usuario tenga intenciones maliciosas e intente XSSing la conversación. Para contrarrestar esto, quiero estar 100% seguro de que es imposible que la aplicación envíe mensajes después de la carga inicial de la página, ya que es aceptable si XSS rompe la aplicación de JavaScript, pero no es aceptable que se envíen mensajes.

¿Hay alguna forma de estar seguro de que mi aplicación JavaScript no enviará mensajes a ninguna parte después de la carga de la página, cuando existe la posibilidad de ataques XSS?

    
pregunta user101846 19.02.2016 - 11:45
fuente

1 respuesta

1

No. El usuario final puede modificar su aplicación de Javascript en su propia máquina y enviar cualquier cosa a cualquier lugar.

Debe asegurarse de que su componente del lado del servidor solo acepte mensajes de chat de fuentes autorizadas y que no sea posible convertir la aplicación de Javascript en un cliente autorizado sin información que no esté disponible para el usuario final (por ejemplo, requiera un token generado por el servidor para enviar mensajes de chat (consulte los métodos de protección CSRF para ver un ejemplo).

Cualquier cosa que se ejecute en un sistema que no controle puede modificarse con suficiente tiempo y esfuerzo, por lo que necesita mantener sus mecanismos de protección en los sistemas que controla.

    
respondido por el Matthew 19.02.2016 - 11:53
fuente

Lea otras preguntas en las etiquetas