对于JSON服务来说,XSS的预防仅限于前端吗?
对于JSON服务来说,XSS的预防仅限于前端吗?
提问于 2014-10-09 14:18:59
我们有一个具有表单的应用程序,用户可以在其中输入注释。表单是使用AJAX提交的。值还通过AJAX读取,后端以JSON的形式返回,然后由JavaScript解析,将其显示在页面上。
此表单易受XSS攻击的影响,因此我们只在前端保护应用程序,在解析JSON响应时,我们会转义HTML和JavaScript字符。
我们认为没有必要在后端执行类似的操作,即在将有风险的字符存储到DB中之前转义它们,因为在呈现之前,JSON响应总是由前端解析的。
是正确的方法,还是仍然存在一些威胁或攻击?
回答 1
Security用户
发布于 2014-10-09 14:27:08
是的,有一种可能的攻击:有一天你改变了前端,停止使用JSON,开始使用其他的东西。存储在数据库上的XSS启动,您的用户受到攻击。
尽快对用户输入进行消毒是一个很好的实践。我总是在他们到达我的代码后立即消毒。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/69289
复制相关文章
相似问题
腾讯云开发者
