用户可编辑的HTML XSS保护(tumblr like)

时间:2013-04-28 21:03:09

标签: security xss tumblr

我希望我的服务具有这样的功能:作者可以完全自定义页面,但不能窃取用户的cookie。

Tumblr遇到了一些麻烦,但成功地解决了它们http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html

所以我需要

的解决方案
  1. no moderation
  2. 完全访问用户 - 作者页面的html代码,不想要白名单过滤和模板语言(现在是这样的:()
  3. 没有机会偷走对方的饼干(在其他作者的页面上)
  4. 集中身份验证db
  5. 需要:不对每个作者页面进行身份验证

    6. 据我了解tumblr:

    1. 单独的域名,无法访问彼此的Cookie
    2. 用户仍然在每个子域上进行身份验证(如何?www.tumblr.com js可以访问主会话cookie?这样安全吗?)
    3. auth cookies应该是httponly?..

      4. 我可以为用户提供安全舒适的解决方案吗? cookie-theft是完全访问html的主要问题吗?

1 个答案:

答案 0 :(得分:3)

  

我希望我的服务具有这样的功能:作者可以完全自定义页面,但不能窃取用户的cookie。

所以我想你想为他们启用javascript,但你不想允许操纵cookie。这应该很简单:只需将其放在用户页面加载之前:

if (document.__defineGetter__)
{    
    document.__defineGetter__("cookie", function () { return ""; } );
    document.__defineSetter__("cookie", function () { } );
}
else // IE
{
    Object.defineProperty(document, "cookie",
    {
        get: function () { return ""; },
        set: function () { return true; },
    });
}
  

用户仍然在每个子域上进行身份验证(HOW ??? www.tumblr.com js可以访问主会话cookie?这样安全吗?)

这也很简单 - cookies支持这一点。其domain属性:

Set-Cookie: name=value; path=/; domain=.example.com
  

auth cookies应该是httponly吗?..

当然 - 他们以获得更好的安全性。

相关问题
最新问题