ورودی جاوا اسکریپت را بدون اعدام ذخیره کنید
برنامه من دارای یک جعبه متن ثروتمند است که هر جاوا اسکریپت را به عنوان ورودی می گیرد و آن را برای اصلاح ذخیره می کند، بعد از آن در داخل وب سایت دیگری استفاده می شود (به عنوان مثال کد را به یک صفحه وب وارد می کند). هنگامی که برخی از کد های مخرب وارد و ذخیره می شوند، آن را در همان برنامه / صفحه مانند XSS ذخیره شده (نوع خود حمله) اجرا می شود. اما ورودی جاوا اسکریپت (بدون هیچ کدام از اصلاح / خروجی) این قابلیت است.
پرسش های من عبارتند از:
- چه مکانیزم های امنیتی باید در محل من وجود داشته باشد؟
- آیا دفاع حاشیه ای وجود دارد؟ (غیر از هدر X-XSS و CSP)
- به نظر این وضعیت از دیدگاه "قابلیت و امنیت"، راه حل چیست؟
