Vamos a diseñar e implementar una interfaz de usuario para un sitio web grande. El propietario del sitio es realmente cauteloso acerca de los problemas de seguridad. Me pregunto si hay una lista de verificación para problemas de seguridad en el lado del cliente, al diseñar y codificar en Javascript.
Nunca habrá una sola lista de verificación perfecta, pero aquí hay algunas cosas que vale la pena revisar:
Wikipedia no hace nada mal en este caso
Más para AJAX u otras interfaces enriquecidas, pero vale la pena leerlo según su arquitectura: OWASP
Esto parece valer una prueba de manejo, no lo he probado yo mismo - Caja de arena de Javascript
Sí, ninguno de estos es una verdadera "lista de verificación": OMI, lo que debe buscar en las vulnerabilidades de Javascript tiene mucho que ver con cómo lo está utilizando y con el resto de su arquitectura, así que estoy No estoy seguro de que una lista de verificación realmente cubra las preocupaciones reales. Puede ser mejor pasar primero por un análisis de riesgo y luego ver cómo se traduce en cómo se usan las diversas tecnologías web como un colectivo.
Para proteger correctamente una aplicación web, necesita tener una buena idea de cómo funcionan los navegadores y servidores. Javascript es solo la punta del iceberg.
Para una revisión introductoria (pero completa) de la seguridad de la aplicación web, recomiendo The Tangled Web de Michal Zalewski. El libro incluye listas de verificación (llamadas "hojas de trucos de ingeniería de seguridad") al final de cada capítulo.
Lea otras preguntas en las etiquetas web-application appsec javascript client-side