Лучшие практики безопасности Angular

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Angular - это популярный front-end framework, созданный компанией Google. Как и другие популярные front-end фреймфорки, он использует архитектуру, основанную на компонентах для структурирования компонентов.

В этой статье будут рассмотрены существующие практики безопасности, которые следует использовать при написании Angular приложения.

Предотвращение межсайтового скриптинга (XSS)

Межсайтовый скриптинг позволяет злоумышленнику внедрить вредоносный код в веб-страницу.

Чтобы это предотвратить, Angular создает переменные, которые интерполируются в шаблоны.

Angular шаблоны представляют собой исполняемый код, поэтому любые вредоносные куски кода необходимо "дезинфицировать".

Интерполяция очищена, но не innerHtml. Например:

<p>{{htmlSnippet}}</p>

Очищена, но при этом:

<p [innerHTML]="htmlSnippet"></p>

- нет.

Следовательно, необходимо быть осторожным, при использовании innerHtml, чтобы предотвратить выполнение строк с тэгом script.

Прямое использование DOM API и явных вызовов очистки

Встроенные DOM API не защищают нас от уязвимостей безопасности.

document, ElementRef имеют небезопасные методы. Перед их использованием следует запустить метод DomSanitizer.sanitize и соответствующий SecurityContext.

Использование автономного компилятора шаблонов

Возможно использование автономного компилятора шаблонов для предотвращения внедрения шаблонов.

Доверие безопасным ценностям

Можно доверять безопасным значениям, используя DomSanitizer и вызывать один из следующий методов:

  • bypassSecurityTrustHtml

  • bypassSecurityTrustScript

  • bypassSecurityTrustStyle

  • bypassSecurityTrustUrl

  • bypassSecurityTrustResourceUrl

Для того, чтобы доверять коду, устанавливаемому динамически.

Например, есть следующий код, который позволяет запустить JavaScript код в href атрибуте:

app.component.ts :

import { Component } from "@angular/core";
import { DomSanitizer } from "@angular/platform-browser";
@Component({  
	selector: "app-root",
	templateUrl: "./app.component.html", 
  styleUrls: ["./app.component.css"]
})
export class AppComponent {  
	dangerousUrl;  
  trustedUrl;  
  constructor(private sanitizer: DomSanitizer) {    
  	this.dangerousUrl = 'javascript:alert("Hi")';    
    this.trustedUrl = sanitizer.bypassSecurityTrustUrl(this.dangerousUrl);  
  }
}

app.component.html :

<p><a class="e2e-trusted-url" [href]="trustedUrl">Click me</a></p>

При передаче this.dangerousUrl в sanitizer.bypassSecurityTrustUrl мы верим, что код безопасен.

Уязвимости на HTTP уровне

Angular из коробки имеет поддержку, помогающую предотвратить распространённые уязвимости ( подделка межсайтовых запросов CSRF/XSRF или межсайтовый скриптинг XSS.

Подделка межсайтовых запросов — это атака, при которой злоумышленник выдает себя за законного пользователя и делает запрос от имени этого пользователя.

Распространенным методом защиты от CSRF является отправка случайно сгенерированного токена аутентификации в файле cookie. Клиент считывает файл cookie и добавляет настраиваемый заголовок запроса с токеном во все последующие запросы.

Сервер сравнивает полученное значение cookie со значением заголовка запроса и отклоняет запрос, если значения отсутствуют или не совпадают.

Все браузеры реализуют политику одного и того же источника. Только код с веб-сайта, на котором установлены файлы cookie, может прочитать файл cookie и установить пользовательские заголовки на сайте.

HTTP-клиент Angular`а может получить файл cookie с сервера и добавить настраиваемый заголовок запроса во все последующие запросы.

Включение межсайтового скрипта (XSSI)

Это уязвимость в старых браузерах, которая переопределяет собственные конструкторы объектов JavaScript и включающая URL-адрес API с использованием тега script.

Этот вид атак успешен только в том случае, если JSON имеет исполняемый JavaScript код.

Выводы

Атаки с использованием межсайтовых сценариев — это когда вредоносные скрипты внедряются в код приложения и запускаются.

Это предотвращается очисткой строк. Angular также предоставляет возможность пройти санитарную обработку.

Методы DOM небезопасны, поэтому мы должны помнить об этом при их использовании.

Подделка межсайтовых запросов - это когда злоумышленник отправляет запросы в качестве законного пользователя, выдавая себя за него.

HttpClient Angular`a может считывать пользовательские файлы cookie с сервера и отправлять заголовок запроса с уникальным идентификатором, который проверяется сервером, чтобы предотвратить эту атаку.

Мы можем предотвратить атаку с включением межсайтовых сценариев, очистив JSON, чтобы предотвратить выполнение исполняемой строки JSON.

Ссылка на оригинальную статью: Angular Security Best Practices

Источник: https://habr.com/ru/post/675054/


Интересные статьи

Интересные статьи

В Skyeng есть команда коммуникаций. Она предоставляет инструменты для связи оператора с пользователем. Например, ученику плохо слышно преподавателя на уроке и он хочет пообщаться с поддержкой, чтобы р...
Разрабатывая корпоративные веб-приложения, каждый из нас рано или поздно сталкивается с необходимостью обеспечить их безопасность и защитить их ресурсы от несанкционирова...
Вышел релиз GitLab 13.5 со сканированием безопасности мобильных приложений, вики-страницами групп, общим реестром пакетов и многими другими классными фичами! Читать дальше &...
Как быстро определить, что на отдельно взятый сайт забили, и им никто не занимается? Если в подвале главной страницы в копирайте стоит не текущий год, а старый, то именно в этом году опека над са...
Руководство о том, как использовать Subject RxJS и BehaviourSubject RxJS для связи между компонентами Angular. В этой статье я буду использовать RxJS, чтобы показать как компоненты взаимодейст...