这是我earlier XSS question的扩展名。
假设没有足够强大的正则表达式来保证用户输入的URL的XSS安全性,我正在考虑使用重定向。
(虽然如果你有的话,请在另一个问题下添加)
我们有用户输入的网址,所以:
stackoverflow.com
他们希望为其他用户显示链接,因此:
<a href="http://stackoverflow.com">stackoverflow.com</a>
为了降低黑客攻击的风险,我打算使用警告页面,因此链接变为:
<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>
然后在该页面上会有一条警告信息和原始链接的简单链接:
<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>
由于我们使用了大量的Ajax,我想让离开网站页面成为一个有围墙的花园,理想情况下只能在该页面中记录用户。我希望他们保持登录原始页面。
然后,如果有人确实超过了sgeisation Regex,他们就无法访问任何欺骗用户。
任何人都知道如何做到这一点?是否可以注销一个窗口/选项卡而不将其全部记录下来?我们支持IE&amp; FX,但理想情况下,解决方案也适用于Opera / Chrome / Safari。
答案 0 :(得分:1)
不可能只在一个标签/窗口中记录某人。
答案 1 :(得分:0)
将Cookie限制在www.example.com,并在links.example.com
上设置转发页面