Evitar Ejecutar JavaScript desde url del Browser

Hazel_ucr · #1 (**permalink**) 24/09/2008, 16:15

Hola, quisiera ver si me pueden ayudar, necesito validar que el usuario a digitado codigo "malicioso" Javascript en el browser, ya que como sabemos algunas acciones pueden ser dañinas, pero no tengo un evento ni en el global.asax ni en la aplicación en donde capturar ya sea cuando el usuario da enter o cuando le da al botón ir en el browser
por ejemplo si ponen este script en el browser

javascript:document.body.contentEditable='true'; document.designMode='on'; void 0
y dan enter, la página en donde están se va a poder editar.
yo quisiera poder evitar esto si es posible porque ya lo vi funcionando en una página de una entidad bancaria

, lo que hacen es desloguear al usuario, pero no he podido capturar el momento en que el usuario hace click, para acceder a ese url, que en realidad es un javascript, parece q no hiciese postback!!!

Muchas gracias, espero que me puedan ayudar

David · #2 (**permalink**) 24/09/2008, 16:47

Yo no veo la parte "maliciosa" del código ya que Javascript se ejecuta del lado del cliente y todo lo que haga se quedará del lado del cliente, no va a modificar la página real en el servidor

.

Hazel_ucr · #3 (**permalink**) 24/09/2008, 16:54

Pues si en este caso es una página un poco delicada, por lo que se presta para que intenten, hacer cosas con java script, sé que solo se ejecuta del lado del cliente, pero por ejemplo con el script que cité anteriormente javascript:document.body.contentEditable='true'; document.designMode='on'; void 0 puedes ver controles hidden si los tienes, o ya te dás una idea de como está formada la página, es por eso que necesito encontral la forma de que cuando un usuario digite:
javascrip: "lo que sea"
yo lo pueda detectar, para hacer algo q no sea lo que indique el Java Script, David se trata de seguridad de los datos, es por eso lo "malicioso"

David · #4 (**permalink**) 24/09/2008, 16:58

Los campos hidden se pueden ver directamente en el código, no hay como ocultarlos, la verdadera seguridad está en el servidor, unos consejos básicos serían nunca usar los mismos nombres de los campos en un formulario para los campos de la base de datos, protegerse contra SQL Injection y cosas por el estilo. Pero en fin, tratar de "protegerse" de Javascript veo innecesario.

#5 (**permalink**) 24/09/2008, 17:22

Además, que simplemente no puedes hacerlo.

Imagina que consgues detectar cuando el usuario escribe en la barra de direcciones (que no puedes, pero imaginemos) lo de javascript:void(document.body.contentEditable='tru e'; document.designMode='on');
Pues ahora vengo yo y me hago un enlace favorito con ese javascript, un bookmarklet. Ya no tengo que escribir nada, sólo con darle al favorito, ya lo ejecuta en la página actual.

Eso ya no lo puedes detectar... pero imaginemos que sí que puedes. Pues me pongo Greasemonkey en el Firefox y le pongo ese script para tu página. Ya no tengo ni que darle al bookmarklet, se ejecuta automáticamente al cargar tu página.

No, como dice David, que para algo es Grande, no debes confiar la seguridad a lo que se ejecuta en el cliente. La seguridad debe estar del lado del servidor. Añadiendo a lo que él dice, diré que si estás metiendo datos en la página que nadie debería ver, ya lo estás haciendo mal. Si nadie debe verlos, no los pongas.

Hazel_ucr · #6 (**permalink**) 25/09/2008, 08:35

Ok, yo no estoy metiendo datos en la página, y eso que me menionas de agrgarlo a favoritos, si ya lo he hecho y si sirve para cualquier página, lá idea es detectar esa inclusipn de código en el evento de carga de la página, pero ya una vez cargada, si escribes código y lo ejecutas, la página no hace postback, no va al evento onload(), simplemente ejecuta el script, no es de imaginar si es posible, la página no te la doy porque tendrpias que tener una cuenta bancaria en la entidad, ya que "cachean" ese script solo si el usuario se logueó, antes de loguearse, no lo hacen, todos los scripts se ejecutan "libremente", entiendo que solo se ejecuta desde el lado del cliente, para eso está ya la seguridad del lado del servidor, pero no es vien vistos por una persona como cliente si me conecto a mi banco y veo que puedo ejecutar scripts desde el browser; es por eso que surge la necesidad de evitar que esto suceda