我正在创建一个网站,让人们可以使用子域创建自己的网站。 让人们在自己的网页上添加自定义javascript是否会产生任何安全隐患?如果有,那是哪些? XSS?饼干嗅闻?我可以通过清理html来使其工作吗?
现在我不允许这样做,但让人们自己决定会很棒。我注意到Github托管的页面上有用户输入的javascript。
答案 0 :(得分:3)
任何安全隐患?
有加载。您可以使用javascript执行任何操作,恶意网站所有者可以在您的网站上执行此操作。
您可能会注意到所有这些都定位到您网站的用户。除非是在您访问恶意网站时通过网络钓鱼或会话劫持您,否则允许使用javascript会导致您的网络服务器遭到破坏。
扫描新的javascript以查找危险的关键字不太可能,因为恶意用户可以使用javascript本身编写不同的javascript。
将所有Cookie设置为httponly
将保护他们免受javascript攻击。 (无论如何你应该这样做。)
根据您与客户的关系,您可能会认为所有这些都是可以接受的,但是当您允许使用javascript时,您应该知道您允许的确切内容。