Ajax e Xss

Molti di noi fanno uso delle features di Ajax senza saperlo, ad esempio usando bbPress o WordPress, e quindi interessante vedere come rendere Ajax più sicuro nei confronti del cross-site-scripting. Capita che Ajax non invii l’HTTP REFERER durante le interrogazioni, mentre questa è la prima linea difensiva che si ha contro il fenomeno dell’XSS, in quanto un’attacante potrebbe aprire un vettore nuovo per compiere un’attacco. Spiegazione : XMLHTTP/XMLHttpReq che viene usato di solito dai vari sw implementanti Ajax puo aprire connessioni solo verso il dominio che ha generato la pagina, HTTP REFERER invece permette di uscire da questo vincolo. Per un maggiore approfondimento vi consiglio di leggere i commenti di questo blog.

Comments are closed.