Q

防止託管CMS上的XSS/JS攻擊

2012-10-18 76 views 0 likes

0

我正在使用託管CMS，並且正在考慮允許站點編輯器添加自定義JavaScript和html（一個很多要求的功能）。防止託管CMS上的XSS/JS攻擊

我擔心這會打開一個攻擊媒介 - 令人討厭的js可能會調用我們託管的CMS公開的函數（請參見Samy worm以獲取用戶腳本對myspace執行的操作的示例），但我真的很想讓用戶控制他們的網站（CMS有什麼意義，你不能自己添加聰明的東西？）

什麼是解決這個問題的好方法？我可以想到幾個我想要評論的內容，但不會因爲擔心'沒有列出問題的mod'而列出它們！

2012-10-18 mcintyre321

A

回答

1

我懷疑Caja在你的名單上，所以我會提到這在Caja的用例中是正確的;例如，Google Sites非常像CMS，並使用Caja嵌入任意的JS和HTML。

Caja主機頁面可以提供沙盒內容使用的任意其他接口，可以包括，例如，在用戶提供的HTML內嵌入由您的CMS提供的小部件，同時保持封裝。

（披露：我在Caja團隊的Google上工作。）

2012-10-18 20:34:26

相關問題

11. 防止輸入型攻擊
12. 防止重複blockchain攻擊
13. 防止類似於PHP的DoS攻擊的蠻力攻擊
14. 阻止IP地址，防止DoS攻擊
15. 防止SQL/XXS攻擊的類？
16. 防止對JBoss 4.2的XXE攻擊4.2
17. 防止ASP.NET MVC中的CSRF攻擊
18. 防止WCF調用中的XSS攻擊
19. 防止Magento中的XSS攻擊
20. 防止jQuery的CSRF和XSRF攻擊$ .post
21. Android防止人爲攻擊SSL中間人攻擊
22. 如何防止二階SQL攻擊？
23. 如何防止重播攻擊？
24. 在grails中防止CSRF攻擊？
25. 防止命令行注入攻擊
26. href安全，防止xss攻擊
27. 如何防止黑客攻擊tomcat？
28. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻擊
29. 防止SQL注入和XSS攻擊
30. 如何防止以下CSRF攻擊Oauth2？