Desidero che il mio servizio abbia tale caratteristica: l'autore può personalizzare completamente la pagina, ma non può rubare i cookie degli utenti.Protezione XSS HTML modificabile dall'utente (simile a tumblr)
Tumblr ha avuto qualche problema con questo, ma li risolto con successo http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html
quindi ho bisogno la soluzione con
- senza moderazione
- pieno accesso al codice html delle pagine per gli utenti-autori, don Non voglio la lingua bianca per filtrare i filtri e il linguaggio dei template (è così che funziona ora :()
- nessuna possibilità di rubare i reciproci cookie (su pagine di altri autori)
- autenticazione db centralizzato
- desiderabile: senza autenticazione su ciascuna pagina autori
come ho capito tumblr:
- domini distinti che non hanno accesso ai cookie di ogni altro
- utenti sono ancora autenticati sul ogni sottodominio (COME ??? www.tumblr.com js ha accesso ai cookie di sessione principale? È che è sicuro?)
- auth cookie devono essere httponly? ..
Posso avere sicuro e confortevole per soluzione gli utenti? Il furto dei cookie è il problema principale dell'accesso completo a html?