현재 로다시를 사용하는 JavaScript로 코딩 된 일부 페이지 앱에서 작업하고 있습니다. 나는에 의해 표준 라이브러리를 사용하여 크로스 사이트 스크립팅 (XSS)를 방지하기 위해 싶습니다 등의 대상 CSS, HTML, HTMLAttribute 자바 스크립트, JSON에 따라 출력을 인코딩 모든 신뢰할 수없는 콘텐츠XSS를 방지하는 JavaScript 라이브러리 또는 Esapi - 신뢰할 수없는 데이터를 이스케이프 처리하고 인코딩합니다.
2) 이스케이프)
1
많은 스택 오버 플로우 해답을 보았지만 표준 라이브러리에 완전한 표준화/인코딩 솔루션을 제공하지 않아 개발자가 라이브러리를 사용하고 있는지 정적 테스트를 작성할 수 있습니다.
JavaScript 용으로 사용할 수있는 esapi 또는 이와 유사한 "light"라이브러리가 있습니까?
내가 입력 및 인코딩 출력을 정규화에만 관심이 순간에 OWASP ESAPI와 jQuery를 인코더 플러그인 https://github.com/chrisisbeef/jquery-encoder 과 세일즈 포스 인코더 https://github.com/salesforce/secure-filters
을 보았다. 나는 현재 잘 유지되고 이상적으로 다른 라이브러리에 의존하지 않는 뭔가를 찾고있다.
누구나 최상의 접근 방법을 제안 할 수 있습니까?
답변 해 주셔서 감사합니다. 프레임 워크? 예. 우리는 레거시와 다른 제 3 자의 숫자를 모두 가지고있는 위치에 있습니다. 일부 프로젝트는 jQuery를 사용하지 않습니다. 내가 자체 포함 된 라이브러리를 찾고 있었던 이유 중 하나. DOMPurify 주셔서 감사합니다. 더 자세히 조사하겠습니다. "정적 분석"을 사용하여 개발자가 올바른 작업을 수행 할 수있는 방법에 대한 생각이 있습니까? – user2684122
JavaScript는 단순히 영숫자가 아닌 모든 문자에 대해'\ xNN '형식으로 인코딩됩니다. 이렇게하면 HTML 인코딩을 필요로하는 것으로 끝나지 않으므로 이중 인코딩 할 필요가 없습니다. 'javascript :'URL로 끝날 수있는 URL 매개 변수에주의하십시오. 여기서 동적 콘텐츠를 삽입해야하는 경우에는 http : // 및 https : //를 허용하십시오. – SilverlightFox