¿Alguien sabe alguna herramienta segura de revisión de código fuente para jQuery / jQueryUI? He mirado alrededor un poco pero no pude encontrar nada. Es demasiado bueno si es de código abierto.
Muy pocas vulnerabilidades existen en el código del lado del cliente en comparación con otros componentes en una aplicación web moderna. Incluso si tiene una violación muy evidente de CWE-602 , existe la vulnerabilidad debido a la falta de servidor. controles Ninguna herramienta que yo sepa puede detectar violaciones a CWE-602.
Dicho esto, el cliente no está totalmente exento de vulnerabilidades. Los dos problemas más grandes son las vulnerabilidades de contenido mixto y dom based xss . Domsnitch es una de las pocas herramientas que puede detectar ambas, aunque también produce una gran cantidad de falsos positivos.
También hay herramientas comerciales que realizan análisis de código estático de JavaScript con el fin de encontrar vulnerabilidades. AppScan de IBM son ejemplos de esto. tipo de software.
No conozco una buena herramienta de revisión de códigos de seguridad que se centre en jQuery.
Para Javascript simple, JavaScript de Douglas Crockford: Las partes buenas + JSLint es una excelente herramienta que lo ayudará a evitar muchos errores en su código, posiblemente incluyendo errores de seguridad.
Si es posible, recomiendo establecer una Política de seguridad de contenido (CSP) restrictiva y escribiendo tu Javascript para cumplir con la CSP. Es probable que esto sea lo más factible para el nuevo código, pero puede que no lo sea si ya tiene una gran cantidad de código existente.
En particular, recomiendo establecer un CSP que prohíba eval
y construcciones similares a eval (ya que estas son comúnmente mal utilizadas y a menudo conducen a vulnerabilidades de seguridad). Además, si es posible sin demasiado costo para usted, prohíba el Javascript en línea y el Javascript cargado a través de HTTP; ponga todas las secuencias de comandos en un archivo separado, que se carga a través de HTTPS a través de una etiqueta script src=...
. El beneficio de la CSP es que lo ayudará a aplicar algunos aspectos de una disciplina de codificación que es beneficiosa para la seguridad. Vea, por ejemplo, cómo Twitter está usando CSP y cómo las extensiones de Google Chrome utilizan CSP .
Hay una forma de asegurar Ajax Llamadas con:
jQuery Deferred Objects Promise Callbacks
Y cree una función global y utilícela con el aplazado Objeto.
Pero en el Soporte de Jquery, dicen que no hay forma en cómo ocultar o asegurar el Código Jquery (js)
¡Es del lado del cliente que pueden hacer lo que quieran!
Mi consejo : es usar una variable corta y no descriptiva no estándar cuando se utiliza ajax o incluso en cualquier función
Solo hazlo en Facebook. ¿Cómo envían / like.php?_a=1 para un like en ajax? y _a = 0 para una aversión
Lea otras preguntas en las etiquetas tools code-review