当允许自定义页眉和页脚时,我们应该剥离JavaScript吗?
Should we strip JavaScript when allowing custom header and footer?
客户希望能够提供他们自己的html页眉/页脚(出于样式原因),这样当他们重定向到customer123.ourservice.com时,页面看起来就像他们网站的一部分。
出于安全考虑,我们应该在他们的HTML中去掉JavaScript吗?他们能做任何恶意的事情吗(比如,如果这是一台公共计算机,可能会得到另一个用户的会话)?我注意到一些其他网站不麻烦剥离JavaScript…
如果他们可以自定义页眉和页脚,这意味着如果他们想/需要,他们可以添加JS。以一个跟踪器为例。
一般来说,如果恶意用户可以在页脚注入JS,则XSS是一个漏洞,如果您的客户决定这样做,则不是。
在你的例子中,他们使用子域名所以客户可以在你的主域名上设置cookie
https://serverfault.com/questions/153409/can-subdomain-example-com-set-a-cookie-that-can-be-read-by-example-com这取决于您的cookie中是否有敏感数据。如果你不这样做,一定不会有任何问题。
流程如下:访问者访问子域。他们为主域名设置了一个cookie。他们重定向或访问者自己去你的主域名。你检查cookie里面的值,它可能会被破坏。每个用户都可以更改自己的cookie,但其他用户无法使用。
另一个问题是,如果他们可以设置cookie,它也可以影响其他子域。
相关文章:
- 在Highcharts中,我们可以通过任何方式在渲染图表之前获得plotWidth和plotHeight
- 为什么不'我们在javascript中使用函数参数的数据类型
- 我们如何使用css或JavaScript在i/j上更改句点(点)的颜色
- 我们如何在不更改url的情况下使用锚点点击从一个页面重定向到另一个页面
- 我们怎样才能将内含子J用于一组特定的元素
- 我们如何在互联网断开连接或用户关闭选项卡/浏览器时调用注销servlet
- 我们可以使用任意的编程语言来动态化HTML页面吗
- 为什么我们在ES2015中需要一个新的for循环结构,而我们已经有了for、forEach
- Regex剥离具有特定属性的html标记
- 在特定索引处剥离/删除数组中的值
- asp.net MVC,重定向到视图,视图打开新窗口到外部url,它'It’’’’我们被当成一种风景
- 我们如何在dailymotion播放器的新测试版中播放youtube视频
- 我们可以用参数对象集合而不是原始数据来调用JavaScript collection.reduce()方法吗
- 我们可以为Cesium中使用CZML绘制的多边形设置outlineWidth属性吗
- 当我们保存一些附件时,我们如何提高PouchDB的性能
- 我们能在&在块到mocha的特定测试用例(it)之后
- jQuery点击操作被排序功能剥离
- 如何在JavaScript中剥离数组元素中的非整数
- 我们可以在HTML中禁用右键单击锚标记吗
- 当允许自定义页眉和页脚时,我们应该剥离JavaScript吗?
