threats.pl

Lekcja 24: Dane z różnych źródeł

Wprowadzenie

W coraz większej ilości przypadków dane wyświetlane na stronie pochodzą z różnych źródeł. Przykładem takiej sytuacji mogą być wszelkiego rodzaju gadżety pobierające dane z zewnętrznych serwisów i następnie wyświetlające je na innych stronach. Przy takim podejściu są co najmniej dwa problemy:

• czy kod gadżetu jest bezpieczny,
• czy pobierane dane są bezpieczne,

Przykład dostępny pod adresami http://bootcamp.threats.pl/lesson24/ oraz http://bootcamp.threats.pl/lesson24a/ obrazuje właśnie taką sytuację. Na przykładowej stronie osadzony jest gadżet, który pobiera dane z zewnętrznego źródła i wstawia na stronę. Co jest w tym przypadku nie tak?

Wskazówki

Przy rozwiązaniu tego zadania przydatne będzie udzielenie odpowiedzi na poniższe pytania:

• skąd dane są pobierane,
• czy pobierane dane są "bezpieczne",
• jak wygląda kod pobierający dane,
• kto może wstawić dane na stronę,

Dodatkowo należy zastanowić się w jaki sposób można bezpiecznie wstawiać dane na stronę z wykorzystaniem JavaScript.

Rozwiązanie

Więcej informacji na temat zadania i jego rozwiązania dostępnych jest:

• Bootcamp XXIV: rozwiązanie
• Bootamp XXIV: co było nie tak w przykładzie
• Bootcamp XXIV: tagów nie trzeba zamykać