客户希望能够提供自己的html页眉/页脚(出于样式原因),这样当他们重定向到with data(totalvolume, totalusage, percentage, Year) as (
select 100, 50, 50.00, 2016 union all
select 200, 50, 25.00, 2015
), converted(totalvolume, totalusage, percentage, Year) as (
select
cast(totalvolume as decimal(8, 2)),
cast(totalusage as decimal(8, 2)),
cast(percentage as decimal(8, 2)),
cast(Year as decimal(8, 2))
from data
)
select
Type,
case
when Type in ('totalvolume', 'totalusage') then format(Value, '0')
when Type = 'percentage' then format(Value, '0.00\%')
end as Value,
format(Year, '0') as Year
from converted unpivot
(value for Type int (totalvolume, totalusage, percentage)) as unpvt
order by
Year, Type desc;
时,该页面看起来就像是他们网站的一部分。
出于安全原因,我们是否应该在HTML中删除JavaScript?他们可以做任何恶意的事情(例如,如果它是公共计算机可能会得到另一个用户的会话)?我注意到其他一些网站不打扰剥离JavaScript ......
答案 0 :(得分:0)
如果他们可以自定义页眉和页脚,则意味着他们可以根据需要添加JS。让我们说一个跟踪器。例如。
一般情况下,如果恶意用户可以在页脚中注入JS,则XSS是一个漏洞,而不是客户决定使用。
在您的情况下,他们正在使用子域名,因此客户可以在您的主域名上设置Cookie
因此,您的Cookie中是否包含敏感数据。如果你不这样做,一定不会有任何问题。
流程将是: 访客登陆子域。他们为主域设置了一个cookie。他们重定向或访问者自己转到您的主域。你检查cookie内的值,它可能会被破坏。 每个用户都可以更改其Cookie,但不会为其他用户提供。
另一个问题是,如果他们可以设置cookie,它也会影响其他子域。