XSS从子域到主域利用

时间:2016-08-31 05:57:01

标签: javascript php session cookies xss

我正在开发一个应用程序,我在注册时为每个用户设置子域。

到目前为止,我允许用户使用一些基本的HTML页面元素创建他们的页面,但我想扩展此选项以允许他们在页面中添加javascript。

现在,我担心的是,用户是否可以利用其他用户或使用邪恶的cookie记录器接管其他用户帐户,或者使用javascript提交或通过任何其他方式执行恶意操作表单?每个"用户javascript"将驻留在不同的子域中。

我的当前配置: -

  1. 会话存储在数据库中
  2. 域路径设置为" /"
  3. 域名设置为空
  4. 仅限主机访问
  5. 只有Http Access才是真的
  6. 每个表单都隐藏了csrk令牌
  7. 更新:我也在使用FB登录,Google登录oAuth。您是否建议禁用我的注册选项并仅将oAuth用于此类问题?

0 个答案:

没有答案