-4
我创建了一个网站,让人们使用子域创建自己的网站。 让人们在自己的页面上添加自定义javascript会有什么安全隐患吗?如果是这样,哪些? XSS? Cookie嗅探?我可以通过清理html来使它工作吗?用户输入Javascript安全隐患
现在我禁止它,但让人们自己决定是件好事。我注意到Github托管的页面上有用户输入的javascript。
A
回答
2
任何安全隐患?
还有负载。您可以使用JavaScript进行任何操作,恶意网站所有者可以在您的网站上进行操作。
- 从登录表单中获取用户的密码并将其发送到其他地方,然后才允许他们正常登录。
- 完全覆盖与您的应用程序工作方式无关的页面。 (我已经看到了这一点,这是药房垃圾邮件,它可能是一个钓鱼页面。)
- 创建一个open redirect。
- 通过反复在后台请求目标页面,导致访问该站点的用户参与DDoS。
您可能注意到,所有的这些都是针对用户在你的网站。除非是在您访问恶意网站时通过网络钓鱼或会话劫持您,否则允许javascript会导致您的网络服务器遭到破坏的可能性不大。
扫描危险关键字的新javascript不太可能正常工作,因为恶意用户可以使用javascript本身编写不同的JavaScript。
将所有cookie设置为httponly将保护他们免受javascript的侵害。 (无论如何,您应该这样做)。
根据您与客户的关系,您可能会认为所有这些都是可以接受的,但是您应该知道在允许javascript时您准确允许的内容。
+0
因此,让网站管理员插入JavaScript应该没问题,因为他们可能不会破解他们自己的网站?用户问题只发生在网站管理员允许用户插入js的情况下,对吗?请记住,这是一个创建自己的网站的网站,例如github网页或shopify。 –
相关问题
- 1. 安全隐患
- 2. 安全隐患
- 3. Flex和Javascript的安全隐患
- 4. 使用CKEditor的安全隐患
- 5. 用户输入,PHP,Javascript和安全
- 6. 让用户呈现自己的SVG文件的安全隐患
- 7. 运行为用户“根”是一个安全隐患,中止
- 8. GWT HTML控件的安全隐患
- 9. Request.ServerVariables(“REMOTE_ADDR”)与Request.ServerVariables(“HTTP_X_FORWARDED_FOR”)的安全隐患
- 10. 这是一个安全隐患
- 11. 安全的用户输入
- 12. Javascript参考外部脚本文件 - 安全隐患
- 13. 以HTML格式嵌入第三方图像的安全隐患
- 14. 使用隐藏输入检索用户数据安全吗?
- 15. 隐式流程的安全隐患是什么
- 16. 通过ssh输入标准输入的sudo密码会带来哪些安全隐患?
- 17. 增加对用户的排斥(AWS)的安全隐患:在sudoers中WSGI
- 18. 暴露给不可信用户时,提琴手是不是安全隐患?
- 19. 正确使用参数处理s:url标记 - 安全隐患?
- 20. 使用新技术时的安全隐患
- 21. PHP用户输入数据安全
- 22. 用户输入的Python安全限制
- 23. 自定义用户HTML输入安全
- 24. PHP安全地接收用户输入
- 25. 使用户输入安全的XML
- 26. 如何让用户安全地输入JavaScript函数?
- 27. 在Meteor.js帐户以外存储访问令牌有什么安全隐患?
- 28. 金字塔/ wsgi os.environ后门的安全隐患?
- 29. 手动添加WebResource.axd - 任何安全隐患?
- 30. 有限功能服务器的安全隐患
也许你应该尝试一下在http://webmasters.stackexchange.com/ – Xinus
哈哈,这就是官僚... –
哈哈,给我-3请 –