Javascript angularjs防止XSS攻击
在angularjs应用程序中防止XSS攻击的最佳方法是什么?在发送到rest服务调用之前,我使用了$sanitize,但我仍然收到来自安全团队的错误消息,该应用程序不安全。这是一种类似于Javascript angularjs防止XSS攻击,javascript,ajax,angularjs,rest,xss,Javascript,Ajax,Angularjs,Rest,Xss,在angularjs应用程序中防止XSS攻击的最佳方法是什么?在发送到rest服务调用之前,我使用了$sanitize,但我仍然收到来自安全团队的错误消息,该应用程序不安全。这是一种类似于 http://somesite.com/search?dateFrom='%22()%26%25<acx><ScRiPt%20>prompt(961193)</ScRiPt>&dateTo=20141231&code=5900 http://somesit
http://somesite.com/search?dateFrom='%22()%26%25<acx><ScRiPt%20>prompt(961193)</ScRiPt>&dateTo=20141231&code=5900
http://somesite.com/search?dateFrom=“%22()%26%25根据定义,XSS修复程序严格地指的是不安全内容的输出
默认情况下,AngularJS将输出编码的HTML,因此不会对其进行解析-与之相关联的JS也是如此。因此,默认情况下,您应该被覆盖
仍然,一些AngularJS开发人员选择使用“ng bind html不安全”或通过$sce手动制作不安全内容。在这种情况下,开发人员必须意识到他们100%依赖后端来提供良好的数据
您确定安全团队指的是XSS而不是CSRF吗?因为CSRF有一个完全不同的补丁(参见谷歌上的CSRF令牌交换)。
如果不是这样的话,我的直觉告诉我,他们希望编码的字符串来自客户端(因为他们太懒了,无法自己编码)。结果是服务器端没有清理输入的数据。尽管我已经设置了验证,但安全团队使用的应用程序可以调用POST ajax调用,而无需通过web应用程序。这可能是一个POST
请求,但您的安全团队可能会感到不安,因为它还发送了一个带有嵌套脚本标记的查询字符串。无论发生什么情况,都是错误。我们应该用这句话制作一些壁纸:)