我制作了一个工具,可以抓取所有来自其他网站(任何类型)的html,css,javascript和图片。 然后我在我自己的域名上执行此操作(当然,在修改链接后)。
javascript也会执行,因此页面呈现与抓取的网站上的相同。但都在我的域名下。
是否有任何方法可以保护此javascript执行(使用不受控制的代码),以便抓取的网站无法获取我网站用户的Cookie? (或其他潜在的安全漏洞?)
感谢。
答案 0 :(得分:0)
在单独的源上运行随机页面(即在单独的域上运行)将至少避免随机页面和您的站点之间的数据泄漏(cookie,localStorage等)。为了避免从一个随机页面泄漏到另一个页面,也可以在自己的子域上运行每个随机页面。
我相信这是谷歌为缓存所做的事情;这些网页来自googleusercontent.com域:https://webcache.googleusercontent.com/search?q=cache%3Astackoverflow.com&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a
如果不在单独的域上运行页面,就无法防止数据泄露。
答案 1 :(得分:0)
认为你永远不应该在你的页面上执行随机js 我认为有一种方法可以做到这一点虽然它需要大量的努力。
您的网页被加载。覆盖浏览器注入到您自己的实现的javascript的所有全局变量,并在那里实现安全检查。这样,页面中执行的所有随机js都将以您希望的方式访问所有功能
离。将document.cookie覆盖到pageload上的其他内容,然后执行您域名的cookie。 更改xmlHttprequest的原型,以便阻止对您的域的ajax请求。等等