将用户注销到单个Web应用程序页面

时间:2008-10-17 12:29:22

标签: c# asp.net security xss

这是我earlier XSS question的扩展名。

假设没有足够强大的正则表达式来保证用户输入的URL的XSS安全性,我正在考虑使用重定向。

(虽然如果你有的话,请在另一个问题下添加)

我们有用户输入的网址,所以:

  

stackoverflow.com

他们希望为其他用户显示链接,因此:

<a href="http://stackoverflow.com">stackoverflow.com</a>

为了降低黑客攻击的风险,我打算使用警告页面,因此链接变为:

<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>

然后在该页面上会有一条警告信息和原始链接的简单链接:

<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>

由于我们使用了大量的Ajax,我想让离开网站页面成为一个有围墙的花园,理想情况下只能在该页面中记录用户。我希望他们保持登录原始页面。

然后,如果有人确实超过了sgeisation Regex,他们就无法访问任何欺骗用户。

任何人都知道如何做到这一点?是否可以注销一个窗口/选项卡而不将其全部记录下来?我们支持IE&amp; FX,但理想情况下,解决方案也适用于Opera / Chrome / Safari。

2 个答案:

答案 0 :(得分:1)

不可能只在一个标签/窗口中记录某人。

答案 1 :(得分:0)

将Cookie限制在www.example.com,并在links.example.com

上设置转发页面