angularjs предотвращает атаки XSS

Question

Каков наилучший способ предотвратить атаки XSS в приложении angularjs? Я использовал $ sanitize перед отправкой его на вызов службы отдыха, и я все еще получаю ошибки от нашей команды безопасности, что приложение не защищено. Вызов - это что-то вроде строк

http://somesite.com/search?dateFrom='%22()%26%25<acx><ScRiPt%20>prompt(961193)</ScRiPt>&dateTo=20141231&code=5900 

Но это должно быть сообщение POST. Я не уверен, почему сканирование безопасности все еще вызывает ошибки. Это что-то, что должно быть исправлено на стороне сервера? У меня есть проверка в моих полях ввода с использованием директив, чтобы пользователи не вводили недопустимые символы, такие как <,> и т. Д. Поэтому я не имею ни малейшего понятия о том, как сканирование создает эти ошибки ...

Heres образец того, что сканировании заголовков ответа

Answer 1

по определению, XSS фиксирует строго со ссылкой на выход незащищенного контента.

AngularJS выводит по умолчанию закодированный HTML, поэтому он не будет разбираться - то же самое относится к JS, связанным с ним. Поэтому по умолчанию вы должны быть охвачены.

, некоторые разработчики AngularJS предпочитают использовать «ng-bind-html-unsafe» или вручную создавать небезопасный контент через $ sce. В этом случае разработчики должны знать, что они на 100% полагаются на бэкэнд для предоставления хороших данных.

Вы уверены, что команда безопасности относится к XSS, а не к CSRF? Потому что CSRF имеет совершенно другое исправление (см. Обмен токенами CSRF в google). Если это не так, моя кишка говорит, что они хотят, чтобы закодированные строки поступали с клиентской стороны (потому что они слишком ленивы, чтобы сами кодировать их).

Answer 2

Оказалось, что серверная сторона не дезинфицирует введенные данные. Несмотря на то, что у меня установлена ​​проверка, команда безопасности использует приложение, которое может вызвать вызов POST ajax, не проходя через веб-приложение.