gpt4 book ai didi

javascript - 允许 Javascript - 防止 XSS? (独特的场景)

转载 作者:行者123 更新时间:2023-11-29 18:37:21 27 4
gpt4 key购买 nike

我正在构建一个应用程序(更具体地说是一个 CMS),它允许用户将 Javascript 添加到他们的内容中。确实没有办法绕过 Javascript,因此,一些安全问题现在变得非常明显。我们主要担心的是 cookie 盗窃。

为了进一步解释系统,CMS 允许单个用户访问多个站点。一个用户可以邀请另一个用户编辑他们的网站。访问站点的人将执行已添加的任何 JS。

这是我们试图解决的场景:

  1. 恶意用户“Evil Bob”编写 Javascript 来读取 cookie 并将它们通过电子邮件发送给他。
  2. 邪恶的鲍勃邀请我编辑他们的网站
  3. 我查看网站,我的 cookie 被发送给了 Evil Bob。
  4. Evil Bob 现在可以访问我的 cookie,并且可以编辑我可以访问的任何网站。

我们添加了一些 cookie 盗窃保护,这使得欺骗 cookie 变得更加困难。如果为了使用偷来的 cookie,您还必须伪造所有 header 以匹配受害者的 header 。

我们有一些修复的想法,比如将每个站点放在一个单独的子域中,并要求每个帐户单独登录。也许这是最好的解决方案。

还有其他建议吗?

最佳答案

感谢您的回答!

我们最终将每个帐户放在唯一的子域中,因此即使 cookie 被盗,它也只会影响一个站点,而不是您拥有的所有站点。这意味着恶意用户只能访问他们已有的内容。

关于javascript - 允许 Javascript - 防止 XSS? (独特的场景),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1495371/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com