标签: security cookies subdomain xss
考虑一个博客网站,其中博客每个用户都有子域名,例如foo.blog.com或bar.blog.com,并允许在布局和帖子中使用JavaScript。
foo.blog.com
bar.blog.com
用户登录www.blog.com进行编辑,因此需要使用cookie沙盒。
www.blog.com
这样做有哪些潜在的安全风险,以及使用blog.com域名解决问题的现代方法是什么?
blog.com