JavaScript 응용 프로그램에서 XSS, CSRF 및 SQL 주입 방지

JavaScript 응용 프로그램에서 XSS, CSRF 및 SQL 주입 방지

이 기사는 일반적인 웹 취약점과 JavaScript 응용 프로그램에서이를 완화하는 방법을 다룹니다. 우리는 크로스 사이트 스크립팅 (XSS), 크로스 사이트 요청 위조 (CSRF) 및 SQL 주입을 다룰 것입니다. 효과적인 보안에는 클라이언트 측 (JavaScript) 및 서버 측 측정을 모두 포함하는 계층화 된 접근 방식이 필요합니다. JavaScript는 방어에서 중요한 역할을 할 수 있지만, 그것이 유일한 방어선이 아니라는 것을 기억하는 것이 중요합니다. 서버 측 유효성 검사는 가장 중요합니다.

XSS 취약점을 방지하기 위해 사용자 입력을 효과적으로 소독하는 방법

XSS 공격은 악의적 인 스크립트가 웹 사이트에 주입되어 사용자의 브라우저에서 실행될 때 발생합니다. 효과적인 소독은 이것을 막기 위해 중요합니다. 사용자 입력을 신뢰하지 마십시오. 클라이언트 측 (JavaScript) 및 더 중요한 것은 서버 측에서 항상 데이터를 검증하고 소독합니다. 다음은 기술의 고장입니다 :

출력 인코딩 :
• 이것은 가장 효과적인 방법입니다. 웹 페이지에 사용자가 공급 한 데이터를 표시하기 전에 표시 될 컨텍스트에 따라 인코딩하십시오. HTML 컨텍스트의 경우 라이브러리 또는 유사한 강력한 솔루션을 사용하십시오. 이 라이브러리는 , , , 및 와 같은 특수 문자를 탈출하여 html 태그 또는 스크립트 코드로 해석되는 것을 방지합니다. 속성의 경우 적절한 속성을 사용하십시오. 예를 들어, DOMPurify 속성에 사용자 입력을 포함시키는 경우 요소의 텍스트 내용에 포함시키는 것과는 다른 특수 문자를 다른 것으로 탈출해야합니다. 입력 유효성 검사 : <code>> 서버 측의 사용자 입력을 예상 형식 및 데이터 유형으로 준수하도록하십시오. JavaScript를 사용한 클라이언트 측 유효성 검사는 사용자에게 즉각적인 피드백을 제공 할 수 있지만 유일한 보안 조치가되어서는 안됩니다. 악의적 인 사용자가 클라이언트 측 확인을 우회하지 못하도록 서버 측 유효성 검사가 필수적입니다. 정규 표현식은 특정 패턴을 시행하는 데 사용될 수 있습니다. " ' 컨텐츠 보안 정책 (CSP) : & 서버에서 CSP 헤더 구현. 이 헤더는 브라우저가로드 할 수있는 리소스를 제어하여 스크립트 및 기타 리소스 소스를 제한하여 XSS 공격의 위험을 줄입니다. 잘 구성된 CSP는 성공적인 XSS 공격의 영향을 크게 완화시킬 수 있습니다. src 템플릿 엔진 사용 : 템플릿 엔진 (예 : 핸들 바, 콧수염 등)을 사용하여 사용자 입력을 자동으로 탈출하여 악의적 인 스크립트의 우발적 인 주입을 방지합니다. 이러한 기능은 위험하며 가능할 때마다 피해야합니다. 비인조화되지 않은 사용자 입력과 함께 사용하면 XSS 취약점으로 쉽게 이어질 수 있습니다. DOM을 조작하는 안전한 방법을 선호합니다.
JavaScript 응용 프로그램을 구축 할 때 CSRF 공격으로부터 보호하기위한 모범 사례
• CSRF (Cross-Site Request Pessery)는 사용자가 이미 인증 한 웹 사이트에서 원치 않는 작업을 수행하도록 공격합니다. 이러한 공격에는 일반적으로 다른 웹 사이트에 악의적 인 링크 또는 양식을 포함시키는 것이 포함됩니다. 효과적인 보호는 서버 측 측정에 주로 의존하지만 클라이언트 측 고려 사항은 보안을 향상시킬 수 있습니다.
  Synchronizer 토큰 패턴 :
  • 이것은 가장 일반적이고 효과적인 방법입니다. 이 서버는 독특하고 예측할 수없는 토큰을 생성하고 숨겨진 양식 필드 또는 쿠키에 포함시킵니다. 그런 다음 서버 측은 각 요청에 따라이 토큰을 확인합니다. 토큰이 누락되었거나 유효하지 않은 경우 요청이 거부됩니다. JavaScript는 토큰의 양식으로의 포함을 처리하는 데 사용될 수 있습니다. http 참조 헤더 확인 (약한) : 헤더는 요청의 원점에 대한 일부 표시를 제공 할 수 있지만 신뢰할 수없고 쉽게 스푸핑 할 수 있습니다. CSRF 보호를 위해서만 의존해서는 안됩니다.
  Samesite Cookies :
  • 쿠키의 속성을 ​​ 또는 로 설정하면 쿠키가 쿠키가 크로스 사이트 요청으로 전송되는 것을 방지하여 CSRF 공격이 더 어려워집니다. 이것은 중요한 서버 측 구성입니다. Referer
  https :
  • 항상 https를 사용하여 클라이언트와 서버 간의 통신을 암호화하십시오. 이로 인해 공격자가 요청을 가로 채고 조작하는 것을 방지합니다. 내 JavaScript 응용 프로그램의 데이터베이스 상호 작용에서 SQL 주입 취약점 SQL 주입은 악성 SQL 코드를 데이터베이스 쿼리에 주입 할 수있게되거나 잠재적으로 부족한 액세스를 얻을 수 있습니다. 다시, 1 차 방어는 서버 측에 있습니다. javaScript는 SameSite를 직접 구성해야합니다. SQL 쿼리를 직접 구성해야합니다. Strict Lax
  매개 변수화 된 쿼리 (준비 문) :
  • 이것은 SQL 주입 방지를위한 금 표준입니다. 사용자 입력을 SQL 쿼리에 직접 포함시키는 대신 매개 변수화 쿼리를 사용하십시오. 데이터베이스 드라이버는 매개 변수를 실행 가능한 코드가 아닌 데이터로 취급하여 주입을 방지합니다. 백엔드 프레임 워크가이를 처리해야합니다. 이것은 서버 측 솔루션입니다. 객체 관계 매핑 (ORMS) : orms는 응용 프로그램 코드와 데이터베이스 사이에 추상화 계층을 제공합니다. 그들은 종종 매개 변수화 된 쿼리를 자동으로 처리하여 SQL 주입 취약점을 피할 수 있도록 쉽게 처리 할 수 ​​있습니다. 입력 유효성 검증 (서버 측) :
  는 매개 변수화 된 쿼리를 사용하더라도 서버 측에서 사용자 입력을 검증하는 것은 데이터 무결성을 보장하고 예상치 못한 동작을 방지하는 데 중요합니다. 비 사지화되지 않은 사용자 입력을 기반으로 쿼리. 항상 매개 변수화 된 쿼리 또는 orms를 사용하십시오.
  최소한의 권한 :

  데이터베이스 사용자가 작업을 수행하는 데 필요한 권한 만 있는지 확인하여 성공적인 SQL 주입 공격의 영향을 최소화하십시오. 이것은 데이터베이스 구성 문제입니다.

  클라이언트 측 JavaScript 보안 측정은 보충적이며 항상

  항상 를 강력한 서버 측 유효성 검사 및 보안 관행과 결합해야한다는 것을 기억하십시오. 고객 측 보호에만 의존하는 것은 매우 위험합니다

위 내용은 JavaScript 응용 프로그램에서 XSS, CSRF 및 SQL 주입 방지의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!