web-dev-qa-db-ja.com

jQuery用の安全なソースコードレビューツール

JQuery/jQueryUIの安全なソースコードレビューツールを知っている人はいますか?少し見回しましたが何も見つかりませんでした。それがオープンソースであるならば、それはあまりにも良いです。

5
Karthik

最新のWebアプリケーションの他のコンポーネントと比較すると、クライアント側のコードに存在する脆弱性はほとんどありません。非常に明らかな CWE-602 違反がある場合でも、サーバー側のコントロールがないために脆弱性が存在します。私が知っているどのツールもCWE-602違反を検出できません。

それは、クライアントが脆弱性から完全に免除されているわけではないと言われています。 2つの最大の問題は、混合コンテンツの脆弱性と domベースのxss です。 Domsnitch は、これらの両方を検出できる数少ないツールの1つですが、多数の誤検知も生成します。

脆弱性を見つける目的でJavaScriptの静的コード分析を実行する商用ツールもあります。 HP Fortify および IBMのAppScan は、このタイプのソフトウェアの例です。

6
rook

JQueryに焦点を当てた優れたセキュリティコードレビューツールを知りません。

単純なJavascriptの場合、Douglas Crockfordの JavaScript:The Good Parts + JSLint は、セキュリティバグなど、コード内の多くのバグを回避するのに役立つ優れたツールです。

可能であれば、制限的な コンテンツセキュリティポリシー(CSP) を設定して、CSPに準拠するようにJavaScriptを作成することをお勧めします。これはおそらく新しいコードで最も実現可能ですが、既存のコードがすでに大量にある場合は、実現できない可能性があります。

特に、evalおよびevalのような構造を禁止するCSPを設定することをお勧めします(これらは一般的に誤用され、セキュリティの脆弱性につながることが多いため)。また、あまりコストをかけずに実行できる場合は、インラインJavascriptとHTTP経由で読み込まれるJavascriptを禁止します。すべてのスクリプトを、script src=...タグを介してHTTPS経由で読み込まれる別のファイルに配置します。 CSPの利点は、セキュリティに有益なコーディング規則のいくつかの側面を強制するのに役立つことです。たとえば、 TwitterでのCSPの使用方法 および how Google Chrome拡張機能でのCSPの使用方法 を参照してください。

4
D.W.

Ajaxを保護する方法があります:

jQuery Deferred Objects Promise Callbacks

そして、グローバル関数を作成し、deferredオブジェクトで使用します。

しかし、Jqueryサポートでは、彼らはそこにJquery(js)コードを非表示または保護する方法はないと述べています

そのクライアント側は、彼らがやりたいことが何でもできる!

私のアドバイス:ajaxを使用する場合、または任意の関数で使用する場合でも、説明変数ではなく、unormaleを使用する

Facebookの方法でそれを行うだけで、/ like.phpを送信しますか?ajaxでのいいね!

0
ucefkh