[JAVASCRIPT] Protégez efficacement vos pages Web, et bloquez l’action des extensions pour navigateur

 

 

Une XSS, qu'est-ce que c'est ?
C'est un petit bout de code mélangeant parfois HTML, parfois Javascript, parfois les deux, mais dont la finalité est souvent de vous plumer !!!!

 

Alors comment s'en protéger ...

 

Il va s'en dire, qu'il est important de vérifier ce que vos utilisateurs peuvent et ne peuvent pas enregistrer sur votre site internet (commentaire, article, ...)

Et ensuite, parmi tout cela, de vérifier, ce qui sera publié sur vos pages et donc visible par tous ... 

 

 

Mais ça, c'est un vieux conseil, que vous trouverez un peu partout ...

 

J'aimerais vous proposer de vous plonger sur un autre aspect de sécurisation ...

 

 

Les développeurs le sauront ... les autres moins, mais ... lorsque vous avez un formulaire de connexion, ou bien n'importe quel contenu sur une page...
Un hacker qui réussit à injecter du code, pourra très bien les utiliser ... les modifier ....

 

 

Aussi, il est possible, si vous savez que vous n'aurez plus besoin de ses fonctions ... (une fois utilisée), d'en verrouiller l'accès.

 

 

Exemple : 


/*
*
*	Fonction qui supprime les méthodes
*	dont nous n'auront plus besoin sur l'objet
*
*/
var ProtectElement = function(el){
		el.setAttribute     	= -1;
		el.getAttribute     	= -1;
		el.addEventListener = -1;
}


/*
*
*  Je crée mon élément
*
*/
var test = document.createElement('input');


/*
*
*	Je modifie mon élément
*
*/
test.setAttribute('type', 'button');
test.setAttribute('value','toto');
test.addEventListener('click', function(){alert(123);})
document.body.appendChild(test);



/*
*
*	Je protége mon élement
*
*/
ProtectElement(test);



/*
*
*	Injection XSS d'un hacker ... mais ... qui ne fonctionnera pas 
*
*/
test.setAttribute('value','toto2');
test.addEventListener('click', function(){alert(456);})

Comme vous pouvez le constater dans ce petit bout de code, l'idée, c'est d'utiliser les méthodes courantes de construction, et de modification ...
Puis une fois, que vous avez terminé de les utiliser, vous n'avez plus qu'à les supprimer.

 

 

Cette petite astuce, bloque également l'action des extensions pour navigateur, qui tenteraient d'altérer le contenu de vos pages.

 

 

 

 

Partagez ce contenu

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *