Prevención de XSS en aplicaciones web de una sola página

Navega tus respuestas
0

Uno de mis colegas sugirió los siguientes métodos para protegerse contra los ataques XSS en mi aplicación angular5:

  1. Habilitar X-XSS-Protection header

  2. Habilitar X-frame-options header

  3. Agregar una política de seguridad de contenido adecuada para evitar la ejecución de javascript en línea.

Pero no creo que lo anterior proteja mi aplicación de todos los ataques XSS. ¿Necesito algo más que lo anterior?

NOTA

Estoy planeando pasar el token de autenticación a la API de back-end a través del encabezado authorization . Para hacer eso, necesito almacenar el token en un almacenamiento local o en una cookie (acceso a ready by javascript).

    
pregunta iam batman 10.06.2018 - 13:42
fuente

1 respuesta

1
  

Pero no creo que lo anterior proteja mi aplicación de todos los ataques XSS. ¿Necesito algo más que lo anterior?

Estos encabezados no lo protegerán mágicamente de todos los ataques XSS. X-XSS-Protection solo te permite ajustar el navegador lo hace si sus heurísticas detectan un XSS potencial (solo XSS reflejado). Y X-Frame-Options no se trata de XSS en absoluto pero sobre la prevención de Clickjacking.

Mientras su aplicación necesite Javascript, simplemente no hay un encabezado mágico que evite XSS. Puede limitar el impacto de un XSS potencial con una Política de seguridad de contenido estricta, pero aparte de eso, solo debe tener la adecuada codifique, valide y desinfecte todas las entradas, etc. Consulte OWASP: XSS Prevention Cheat Sheet para obtener más información.

    
respondido por el Steffen Ullrich 10.06.2018 - 14:21
fuente

Lea otras preguntas en las etiquetas

Riesgos de seguridad planteados por los nombres de archivos generados por el usuario en un servidor web [cerrado] ¿El servidor nonce y el cliente nonce en SSL son iguales?