Cross-Domain JavaScript Source File Inclusion

Copyright © Shutterstock / Trismegist san

Was ist Cross-Domain JavaScript Source File Inclusion?

Bei der Cross-Domain JavaScript Source File Inclusion beinhaltet die Seite eine oder mehrere Skript-Dateien von einer Drittanbieter-Domain.

Beschreibung

Wenn Drittanbieter-Funktionen wie ein Web-Widget, eine Bibliothek oder eine andere Funktionsquelle verwendet werden, muss die Software dieser Funktionalität effektiv vertrauen. Ohne ausreichende Schutzmechanismen könnte die Funktionalität böswillig sein (entweder indem sie von einer nicht vertrauenswürdigen Quelle stammt, gefälscht wird oder während der Übertragung von einer vertrauenswürdigen Quelle geändert wird). Die Funktionalität kann auch ihre eigenen Schwächen enthalten oder Zugriff auf zusätzliche Funktionen und Zustandsinformationen gewähren, die für das Basissystem geheim gehalten werden sollten, z. B. Informationen zum Systemstatus, vertrauliche Anwendungsdaten oder das DOM einer Webanwendung.

Dies kann abhängig von der enthaltenen Funktionalität zu vielen unterschiedlichen Konsequenzen führen. Einige Beispiele umfassen das Injizieren von Malware, das Aussetzen von Informationen durch das Erteilen übermäßiger Privilegien oder Berechtigungen für die nicht vertrauenswürdige Funktionalität, DOM-basierte XSS-Sicherheitsanfälligkeiten, Diebstahl von Cookies von Benutzern oder die offene Umleitung auf Malware.

Die Folge kann sein, dass ein Angreifer bösartige Funktionen in das Programm einfügen kann, indem er das Programm veranlasst, Code herunterzuladen, den der Angreifer in den nicht vertrauenswürdigen Kontrollbereich platziert hat, z. B. eine schädliche Website.

Lösung

Vergewissern Sie sich, dass die JavaScript-Quelldateien nur von vertrauenswürdigen Quellen aus geladen werden und die Quelle nicht vom Endnutzer der Anwendung kontrolliert werden kann.