我的web應用程序向登錄用戶顯示一些敏感信息。用戶訪問另一個網站時未首先明確註銷我的網站。如何確保其他網站在未經我或用戶同意的情況下無法訪問敏感信息?如何保護跨站點訪問的敏感信息?
例如,如果我的敏感數據是JavaScript格式,則其他站點可以將其包含在腳本標記中並閱讀副作用。我可以繼續建立一個黑名單,但我不想列舉什麼是不安全的。我想知道什麼是安全的,但我找不到任何文件。
更新:在我的例子的JavaScript從受害者網站上攻擊者的網站,而不是周圍的其他方式,這將是跨站腳本執行。
另一個例子是圖像,其中任何其他網站可以讀取寬度和高度,但我不認爲他們可以讀取內容,但他們可以顯示它。
的第三個例子是,一切都沒有X框-選項首部可以被加載到一個iframe,並從那裏有可能通過欺騙用戶做拖動和放下竊取數據或複製-糊。
不,我不是來自用戶,或任何不可信數據說起輸入。 –