Библиотека JavaScript или Esapi, предотвращающая XSS — экранирование и кодирование ненадежных данных

Используются ли какие-либо фреймворки шаблонов? В идеале вы должны использовать фреймворк, такой как React, который обрабатывает кодировку по умолчанию. Тогда все, что вам нужно сделать, это убедиться, что dagerousSetInnerHTML не используется (или используется безопасно).

Добавление ненадежного CSS считается небезопасным, если только не проверен белый список. Добавление ненадежных данных в теги можно безопасно выполнить, назначив данные элементу element.textContent или используя jQuery $.text(). Добавление ненадежных данных к атрибутам HTML, которые не являются обработчиками событий, можно выполнить с помощью element.setAttribute или $.attr(). Для двойных контекстов, таких как внутренние теги скрипта (контекст javascript внутри контекста html) или атрибуты обработчика событий javascript (контекст javascript внутри контекста атрибута html), вам нужно убедиться, что вы кодируете для обоих.

Для содержимого HTML вы можете дополнительно использовать DOMPurify для удаления любого активного содержимого, но это более справедливо, если вам нужно разрешить ненадежные фрагменты HTML.

Я видел несколько ответов на переполнение стека, но они не предоставляют полного решения для канонизации/кодирования в стандартной библиотеке, которую я могу написать статический тест, чтобы убедиться, что разработчики используют библиотеку.

Причина в том, что порядок, в котором вы делаете эти действия, не только специфичен для каждого приложения, но и специфичен для каждой переменной, выводимой в каждом приложении. Любой набор тестов, который вы пишете, будет специфичен для каждого приложения, вы не сможете написать универсальный тест, если только все приложения в вашей организации не используют одно и то же технологии, методологии и процессы. По моему опыту, ни одна компания не достигла такого уровня унификации, если только это не один разработчик.