用戶可編輯的HTML XSS保護（tumblr like）

Question

我希望我的服務具備這樣的功能：作者可以完全自定義頁面，但不能竊取用戶的Cookie。

的tumblr了一些麻煩與，但是解決他們順利http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html

所以我需要

1. 沒有節制的解決方案
2. 完全訪問的用戶，作者，唐頁面的html代碼（）
3. 沒有機會竊取對方cookie（在其他作者的頁面上）
4. 集中認證DB
5. 可取的：沒有每個作者網頁認證

據我瞭解tumblr：

1. 沒有獲得對方
2. 用戶的餅乾獨立的域仍然認證上每個子域（HOW ??? www.tumblr.com js有權訪問主會話cookie？那是安全的？）
3. 權威性餅乾應該是僅Http？..

我能有安全，舒適，爲用戶解決方案？ 是否是cookie-theft完全訪問html的主要問題？

Answer 1

我希望我的服務具備這樣的功能：作者可以完全自定義頁面，但不能竊取用戶的cookies。

所以我想你想爲他們啓用JavaScript，但你不想允許操縱cookies。這應該是簡單：只需將其放置在用戶的頁面加載前：

if (document.__defineGetter__) 
{  
    document.__defineGetter__("cookie", function() { return ""; }); 
    document.__defineSetter__("cookie", function() { }); 
} 
else // IE 
{ 
    Object.defineProperty(document, "cookie", 
    { 
     get: function() { return ""; }, 
     set: function() { return true; }, 
    }); 
} 

---

用戶通過身份認證上的每個子域（如何??? www.tumblr.com JS訪問主會話cookie ？這是否安全？）

這也很簡單 - 餅乾支持這一點。它domain屬性：

Set-Cookie: name=value; path=/; domain=.example.com 

---

權威性餅乾應該是僅Http ..

當然 - 他們應該是爲更好的安全性？