1. casa
  2. Domanda e risposta
  3. Protezione XSS HTML modificabile dall'utente (simile a tumblr)

Protezione XSS HTML modificabile dall'utente (simile a tumblr)

2013-04-28 11 views
8

Desidero che il mio servizio abbia tale caratteristica: l'autore può personalizzare completamente la pagina, ma non può rubare i cookie degli utenti.Protezione XSS HTML modificabile dall'utente (simile a tumblr)

Tumblr ha avuto qualche problema con questo, ma li risolto con successo http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html

quindi ho bisogno la soluzione con

  1. senza moderazione
  2. pieno accesso al codice html delle pagine per gli utenti-autori, don Non voglio la lingua bianca per filtrare i filtri e il linguaggio dei template (è così che funziona ora :()
  3. nessuna possibilità di rubare i reciproci cookie (su pagine di altri autori)
  4. autenticazione db centralizzato
  5. desiderabile: senza autenticazione su ciascuna pagina autori

come ho capito tumblr:

  1. domini distinti che non hanno accesso ai cookie di ogni altro
  2. utenti sono ancora autenticati sul ogni sottodominio (COME ??? www.tumblr.com js ha accesso ai cookie di sessione principale? È che è sicuro?)
  3. auth cookie devono essere httponly? ..

Posso avere sicuro e confortevole per soluzione gli utenti? Il furto dei cookie è il problema principale dell'accesso completo a html?

fonte

2013-04-28 Alexander Ulitin

risposta

3

Desidero che il mio servizio abbia questa caratteristica: l'autore può personalizzare completamente la pagina, ma non può rubare i cookie degli utenti.

Quindi penso che si desidera abilitare javascript per loro ma non si vuole consentire la manipolazione dei cookie. Questo dovrebbe essere semplice: basta posizionarlo prima di caricamento della pagina dell'utente:

if (document.__defineGetter__) 
{  
    document.__defineGetter__("cookie", function() { return ""; }); 
    document.__defineSetter__("cookie", function() { }); 
} 
else // IE 
{ 
    Object.defineProperty(document, "cookie", 
    { 
     get: function() { return ""; }, 
     set: function() { return true; }, 
    }); 
}

utenti sono ancora autenticati su ogni sottodominio (COME ??? www.tumblr.com js ha accesso ai principali cookie di sessione ? È sicuro?)

Anche questo è semplice - i cookie supportano questo. Il suo attributo domain:

Set-Cookie: name=value; path=/; domain=.example.com

cookie auth dovrebbe essere httponly ..

Naturalmente - essi dovrebbero essere per la sicurezza migliore?.

fonte

2013-08-18 14:42:46 Zaffy

Problemi correlati

 Problemi correlati