Как обезопасить фронтенд от XSS через форму регистрации?

Question

[Isaac Clark]

Здравствуйте. Такой вопрос: пользователь печатает в тектовом поле login, который тут же отправляется на сервер для проверки на существование подобного.
Проблема в том, что при введении, к примеру, https://toster.ru/ выполнится скрипт, как обезопасить такое поведение для фронтенд части? Экранировать символы?
Спасибо за помощь и ваше время.

Answer 1

[Stalker_RED]

при введении, к примеру, https://toster.ru/ выполнится скрипт

Какой скрипт? Зачем вы так сделали?

Да, фильтруйте или экранируйте данные. Вообще неплохо бы экранировать весь user-generated content.

Comments

[Isaac Clark]

таким образом?

function decodeHTMLEntities (str) {
    if(str && typeof str === 'string') {
      // strip script/html tags
      str = str.replace(/<script[^>]*>([\S\s]*?)<\/script>/gmi, '');
      str = str.replace(/<\/?\w(?:[^"'>]|"[^"]*"|'[^']*')*>/gmi, '');
      element.innerHTML = str;
      str = element.textContent;
      element.textContent = '';
    }

    return str;
  }

[Isaac Clark]

или можно с помощью методов ?

var enc = window.btoa(str);
var dec = window.atob(enc);

[Stalker_RED]

Isaac Clark, если это у вас на клиенте работает, то я должен вас разочаровать. Никто не мешает злоумышленнику отключить или модифицировать ваши скрипты. Или вообще отправить данные без браузера.

[Isaac Clark]

Stalker_RED, а если это исправлять, то можно кодировать на клиенте, а на сервере раскодировать или как в таком случае это правльно фиксить, подскажите пожалуйста?

[Stalker_RED]

Isaac Clark, проверять на сервере, конечно-же.
Еще раз повторяю: никто не мешает злоумышленнику открыть инструменты разработчика в браузере, и изменить ваши скрипты. Убрать все ваши хитрые проверки.

[Isaac Clark]

Stalker_RED, я это понимаю, просто уточняю, что как правльно это сделать: как только данные пришли с клиента - экранировать символы? а потом только проверять наличие логина в базе?

[Isaac Clark]

Stalker_RED, может в express.js есть методы позволяющие сделать и обезопасить такую проверку?

[Stalker_RED]

Isaac Clark, https://www.npmjs.com/browse/keyword/sanitization

[Isaac Clark]

Stalker_RED, а csrf библиотека сюда не подойдет?

[Stalker_RED]

Isaac Clark, csrf тоже полезно, но она для другого.

[Isaac Clark]

Stalker_RED, подскажите пожалуйста, что из этого списка выбрать? там куча библиотек, по ссылке, которую вы кинули

[Stalker_RED]

Isaac Clark, ИБ, это такая штука, что вы или вникаете в подробности и разбираетесь что вы делаете и зачем, или расслабляетесь и надеетесь на защиту по методике Неуловимого Джо.

Нет особой разницы какую именно библиотеку вы выберете. В большинстве случаев действительно можно обойтись парочкой реплейсов. (Но на стороне сервера, это важно!)