Problèmes XML Ajax avec validation XSS

Question

Lors de l'utilisation d'Ajax dans les applications Web, nous utilisons XML pour transférer les données entre le serveur et le client. Cependant la validation XSS entre en image, Donc les questions sont, 1. Le passage de XML comme ceci est-il correct? 2. Sommes-nous exposés à des problèmes de sécurité si nous désactivons la validation XSS? 3. La transmission d'une requête Ajax avec l'en-tête (content-type = application/xml) permet-elle de résoudre ce problème? JSON est également une bonne approche pour transférer les données mais cela pour invoquer XSS. Alors qu'est-ce qui est correct et incorrect? Suggérez quelques bonnes pratiques. S'il vous plaît fournir votre contribution pour le même. Merci,

Answer 1

Je préfère utiliser JSON pour cela; beaucoup plus léger que XML, et puisqu'il s'agit d'un objet javascript, il devient trivial d'utiliser les données renvoyées dans votre gestionnaire d'événements. Faites juste attention de ne pas eval() votre objet JSON car cela compromet la sécurité - voir When is JavaScript's eval() not evil?

Comme pour la protection XSS, il est là pour une bonne raison. Je prends de votre message que le code client est hébergé sur un domaine différent de la source de données? La protection XSS ne prend effet que si c'est le cas. Vous voudrez peut-être se pencher sur jsonp qui a été mis au point pour ce scénario, mais il porte aussi son propre ensemble de problèmes de sécurité: http://en.wikipedia.org/wiki/JSON#JSONP

Hope this helps,

JS