用户输入了Javascript安全隐患

时间:2013-05-18 10:23:47

标签: javascript security customization xss

我正在创建一个网站,让人们可以使用子域创建自己的网站。 让人们在自己的网页上添加自定义javascript是否会产生任何安全隐患?如果有,那是哪些? XSS?饼干嗅闻?我可以通过清理html来使其工作吗?

现在我不允许这样做,但让人们自己决定会很棒。我注意到Github托管的页面上有用户输入的javascript。

1 个答案:

答案 0 :(得分:3)

  

任何安全隐患?

加载。您可以使用javascript执行任何操作,恶意网站所有者可以在您的网站上执行此操作。

  • 从登录表单中获取用户密码,然后将其发送到其他地方,然后再允许他们正常登录。
  • 使用与应用程序工作方式无关的内容完全覆盖页面。 (我已经看到了这一点。这是药房垃圾邮件。它可能是一个网络钓鱼页面。)
  • 创建open redirect
  • 通过在后台反复请求目标页面,使网站访问者参与DDoS。

您可能会注意到所有这些都定位到您网站的用户。除非是在您访问恶意网站时通过网络钓鱼或会话劫持您,否则允许使用javascript会导致您的网络服务器遭到破坏。

扫描新的javascript以查找危险的关键字不太可能,因为恶意用户可以使用javascript本身编写不同的javascript。

将所有Cookie设置为httponly将保护他们免受javascript攻击。 (无论如何你应该这样做。)

根据您与客户的关系,您可能会认为所有这些都是可以接受的,但是当您允许使用javascript时,您应该知道您允许的确切内容。