JS_017_NO_INLINE_SCRIPTS_OR_HANDLERS:
Severity: blocker. Bereich: js.
Regel
(kein Regeltext)
Reflection-Check
check:
fail: PHP rendert dynamisches Inline-JS oder inline Event Handler.
pass: JS liegt in externen Dateien; PHP Views enthalten keine inline script-Bloecke
und keine onClick/onChange-Attribute.
remediation: Daten per data-* oder JSON script uebergeben; Verhalten in externe
JS-Datei verschieben; CSP-Nonce nur fuer harte Ausnahme.
type: js_moduleEvidence
- OWASP_DOM_XSS, OWASP DOM based XSS Prevention Cheat Sheet
- OWASP_XSS, OWASP Cross Site Scripting Prevention Cheat Sheet
- FOWLER_SEPARATED_PRESENTATION, Martin Fowler: Separated Presentation