我创建了一个网站,让人们使用子域创建自己的网站。 让人们在自己的页面上添加自定义javascript会有什么安全隐患吗?如果是这样,哪些? XSS? Cookie嗅探?我可以通过清理html来使它工作吗?用户输入Javascript安全隐患
现在我禁止它,但让人们自己决定是件好事。我注意到Github托管的页面上有用户输入的javascript。
我创建了一个网站,让人们使用子域创建自己的网站。 让人们在自己的页面上添加自定义javascript会有什么安全隐患吗?如果是这样,哪些? XSS? Cookie嗅探?我可以通过清理html来使它工作吗?用户输入Javascript安全隐患
现在我禁止它,但让人们自己决定是件好事。我注意到Github托管的页面上有用户输入的javascript。
任何安全隐患?
还有负载。您可以使用JavaScript进行任何操作,恶意网站所有者可以在您的网站上进行操作。
您可能注意到,所有的这些都是针对用户在你的网站。除非是在您访问恶意网站时通过网络钓鱼或会话劫持您,否则允许javascript会导致您的网络服务器遭到破坏的可能性不大。
扫描危险关键字的新javascript不太可能正常工作,因为恶意用户可以使用javascript本身编写不同的JavaScript。
将所有cookie设置为httponly
将保护他们免受javascript的侵害。 (无论如何,您应该这样做)。
根据您与客户的关系,您可能会认为所有这些都是可以接受的,但是您应该知道在允许javascript时您准确允许的内容。
因此,让网站管理员插入JavaScript应该没问题,因为他们可能不会破解他们自己的网站?用户问题只发生在网站管理员允许用户插入js的情况下,对吗?请记住,这是一个创建自己的网站的网站,例如github网页或shopify。 –
也许你应该尝试一下在http://webmasters.stackexchange.com/ – Xinus
哈哈,这就是官僚... –
哈哈,给我-3请 –