|
Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement( Télécharger le fichier original )par Guillaume HARRY Conservatoire national des arts et métiers - Ingénieur 2012 |
4.2.3 Parade et bonnes pratiquesLes recommandations faites précédemment pour se prémunir des risques d'injection sont valables pour XSS. Cependant, transformer les six caractères douteux suivants suffit. & &< <> >" "' ' (' n'est pas recommendé)/ / Figure 16 - Caractères spéciaux à remplacer par leur code Côté client avec JavaScript il faut vérifier les données saisies par les utilisateurs. Côté serveur, il faut vérifier les données récupérer en paramètre. Il faut rejeter toutes les données qui ne sont pas conformes à ce qui est attendu. Pour éviter le vol de cookie par du code JavaScript, il est possible de positionner l'attribut de cookie HTTPOnly [10]. S'il est présent, le navigateur interdit au moteur JavaScript de lire ou écrire dans les cookies. Cet attribut est très peu utilisé par les applications Web, car tous les navigateurs ne le gèrent pas. Cependant il est préférable de l'utiliser car les navigateurs les plus populaires l'implémentent, ce qui diminue les risques liés aux cookies. <?php session.cookie_httponly = True?> Figure 17 - Script PHP pour positionner l'attribut de cookie HTTPOnly Les navigateurs intègrent des protections contre XSS en interdisant l'exécution de code JavaScript qui modifie une page Web depuis une page Web ne portant pas le même nom de domaine. |
|
