防止托管CMS上的XSS / JS攻击

时间:2012-10-18 11:17:00

标签: xss csrf google-caja hosted-app

我正在开发一个托管的CMS,我正在考虑允许网站编辑添加自定义的javascript和html(一个非常需要的功能)。

我担心这会打开一个攻击媒介 - 讨厌的js可以调用我们托管的CMS公开的函数(请参阅Samy worm获取用户脚本对myspace所做的一些示例),但是我真的想让用户控制他们的网站(CMS有什么意义,你不能添加自己聪明的东西?)

解决此问题的好方法是什么?我可以想到几个我想评论的内容,但我不会因为害怕'没有列表问题mods'而列出它们!

1 个答案:

答案 0 :(得分:1)

我怀疑Caja在你的名单上,所以我会提到这完全是在Caja的用例中;例如,Google Sites非常像CMS,并使用Caja嵌入任意JS和HTML。

Caja主页可以提供沙盒内容使用的任意附加界面,例如,可以包括将CMS提供的小部件嵌入用户提供的HTML中,同时保持封装。

(披露:我在Caja团队为谷歌工作。)