Dit is kliënt-kant-kode te vertrou data ontsnap voordat dit eksponensieel meer belangrik is.
Behoorlike kontekstuele uitvoer kodering is die primêre en mees doeltreffende manier om Cross-site scripting (XSS) aanvalle te bekamp.
Dit is belangrik om die ontsnapping reëls van die huidige konteks gebruik om nie toelaat dat 'n aanvaller te breek uit daardie konteks.
Die rede is dat uitvoer kodering so belangrik is, is omdat HTML, deur die natuur, meng kode en data; dus 'n aanvaller kan kode as data verbloem en dat kode kan onbewustelik uitgevoer deur ander gebruikers.
Deur enkodeer vertrou data in die korrekte konteks, terwyl dinamiese bou gedeeltes van die DOM of uitskryf JavaScript, kan ontwikkelaars effektief te verminder DOM-Based XSS aanvalle.
Kliënt kant kontekstuele encoding verantwoordelikhede aan diegene wat data laai vanaf 3rd party dienste en dat data op hulle bladsy vertoon.
Die kliënt het geen beheer oor die integriteit van die data om hulle gestuur in die meeste gevalle, so dit is belangrik as wanneer die lewering van data uit 'n vertrou bron, soos 'n openbare webservice, dat die ontwikkelaar in staat wees om te enkodeer wat vertrou data vir gebruik in die korrekte konteks
Wat is nuut in hierdie release:..
- Aanvanklike vrystelling
Vereistes :
- JavaScript enabled op die kliënt kant
- jQuery
Kommentaar nie gevind