我正在开发一个允许用户自定义网页的项目。目前,该用户可以将HTML添加到页面。根据我的研究,似乎XSS攻击通常用于劫持会话/窃取cookie。我的问题是,如果不允许访问者向该页面添加任何内容,并且如果自定义页面的用户是唯一能够登录的人,是否有必要阻止XSS攻击?我的想法是否定的,因为唯一可用于窃取的饼干是他或她自己的。
答案 0 :(得分:1)
Maaaybe,因为听起来你只是说用户A可以看到用户A提交的HTML,但你仍然需要小心,因为我们假设用户A知道正在提交的所有数据代表他或她。考虑以下攻击。
也许如果你实施的CSRF保护阻止我代表用户提交,那你就没事了,但它仍然有点吓人。如果用户需要能够使用HTML(但他们通常不会),请考虑像HTML Purifier这样的工具,它允许已知的HTML安全但阻止潜在的恶意HTML:这样,大多数合法用例可能会被满足,但即使其他安全系统崩溃,XSS也几乎不可能。它易于实施,并且需要付出很小的代价来支付额外的安全级别。