Qooxdoo是否受到XSS保护

时间:2016-06-13 14:20:07

标签: xss qooxdoo jspresso

我正在寻找有关Qooxdoo安全性的信息。 我想查看我的应用与OWASP top 10 需要审核的是XSS OWASP A3 XSS

我怎样才能确定Qooxdoo是否可以抵御XSS攻击? Qooxdoo是否使用了一些消毒剂工具?

解决

所有讨论的简短回答。是的Qooxdoo是XSS安全的。默认情况下,不会执行任何字段中的javascript值。

但是,如果你使用rich = true,你必须检查输入/输出

1 个答案:

答案 0 :(得分:6)

常见的XSS攻击媒介是攻击者以某种方式将JS代码输入到Web应用程序中的情况,这样该代码就会显示在网页的DOM中并因此被激活。

为防止出现此类XSS,您必须确保后端服务器不会向浏览器发送用户生成的(未清理的)html ...(这与qooxdoo无关)。

也就是说,常规的qooxdoo小部件通常不会将数据显示为html,因此即使没有聪明的服务器,您也是相当安全的。 qx.ui.basic.Label小部件及其后代是个例外。如果设置rich属性,Label小部件可以直接显示HTML。默认情况下,rich属性设置为false,但如果启用此属性,则必须确保不显示“危险”信息。 HTML内容。

只有极少数(非必要的)qooxdoo小部件允许您将HTML代码插入DOM。在这些情况下,您必须注意清理数据。有问题的小部件是:

qx.ui.embed.Html
qx.ui.table.cellrenderer.Html
qx.ui.progressive.renderer.table.cell.Html
qx.ui.virtual.cell.Html
qx.ui.virtual.layer.HtmlCell
qx.ui.virtual.layer.HtmlCellSpan

如果您确实使用qx.html.*qx.bom.*以及qx.dom.*个对象直接使用DOM,那么qooxoo无法接触到您,并且必须小心谨慎行事。

另一个重要的攻击媒介是身份验证Cookie。大多数攻击的工作原理是让浏览器将请求与cookie一起发送到服务器而不会让用户知道它。

Qooxdoo本身要求您使用cookies。由于设计的qooxdoo应用程序在单个浏览器窗口中运行,因此您可以在不使用cookie的情况下工作。实现类似这样的事情的一种简单方法是让服务器访问单例'它负责与后端的所有通信,并在添加到每个请求的特殊标头中提供访问令牌。

以下代码可以作为Cookie问题的指南。

qx.Class.define('myapp.Server', {
    extend : qx.io.remote.Rpc,
    type : "singleton",

    construct : function() {
        this.base(arguments);
        this.set({
            timeout     : 60000,
            url         : 'QX-JSON-RPC/',
            serviceName : 'default'
        });
    },

    properties: {
        sessionCookie: {
            init: null,
            nullable: true
        }
    },

    members : {
        /**
         * override the request creation, to add our 'cookie' header
         */
        createRequest: function() {
            var req = this.base(arguments);
            var cookie = this.getSessionCookie();
            if (cookie){
                req.setRequestHeader('X-Session-Cookie',this.getSessionCookie());
            }
            return req;
        }
    }
});

如果您在myapp.uiLogin中提供登录弹出窗口,则可以替换 标准callAsync,如果后端对您的请求不满意,可以通过添加以下内容来弹出登录窗口。

 /**
 * A asyncCall handler which tries to
 * login in the case of a permission exception.
 *
 * @param handler {Function} the callback function.
 * @param methodName {String} the name of the method to call.
 * @return {var} the method call reference.
 */
callAsync : function(handler, methodName) {
    var origArguments = arguments;
    var origThis = this;
    var origHandler = handler;
    var that = this;
    var superHandler = function(ret, exc, id) {
        if (exc && exc.code == 6) {
            var login = myapp.uiLogin.getInstance();

            login.addListenerOnce('login', function(e) {
                var ret = e.getData();
                that.setSessionCookie(ret.sessionCookie);
                origArguments.callee.base.apply(origThis, origArguments);
            });

            login.open();
            return;
        }

        origHandler(ret, exc, id);
    };

    if (methodName != 'login') {
        arguments[0] = superHandler;
    }

    arguments.callee.base.apply(this, arguments);
},

查看the CallBackery application,了解其在实际应用中的工作原理。

相关问题
最新问题