我正在構建一個應用程序(CMS更具體),它允許用戶添加Javascript到他們的內容的過程。真的沒有辦法讓Javascript,因爲它,一些安全問題現在變得非常明顯。我們主要關心的是cookie被盜用。允許使用Javascript - 防止XSS? (獨特的場景)
要多說明一下系統,CMS允許單個用戶訪問多個站點。用戶可以邀請其他用戶編輯他們的網站。有人訪問一個網站將執行任何已添加的JS。
這裏我們試圖繞過一個場景:
- 惡意用戶「邪惡鮑勃寫道:」 Javascript功能來讀取cookies並通過電子郵件發送給他。
- 邪惡鮑勃邀請我編輯他們的網站
- 我查看網站和我的餅乾發送給邪惡的鮑勃。
- Evil Bob現在可以訪問我的Cookie,並且可以編輯我有權訪問的任何網站。
我們添加了一些cookie防盜保護功能,這使得它更難以欺騙cookie。如果爲了使用被盜的cookie,你也必須欺騙所有頭部以匹配受害者的頭部。
我們對修復有一些想法,比如將每個網站放在一個單獨的子域中,並且需要單獨登錄每個賬戶。也許這是最好的解決方案。
其他建議?
你也應該只使用cookie http cookie。這樣不能被盜。 – Alfred 2011-01-03 22:09:30
http://stackoverflow.com/questions/16267847/user-editable-html-xss-protection-tumblr-like你能回答類似的問題,但與集中認證的一些細節? – 2013-04-28 21:27:16