我正在开发一个允许用户自定义网页的项目。目前,该用户可以将 HTML 添加到页面。根据我的研究,XSS 攻击似乎通常用于劫持会话/窃取 cookie。我的问题是,如果不允许访问者向这个页面添加任何内容,并且如果自定义页面的用户是唯一可以登录的人,是否有必要防止 XSS 攻击?我的想法是否定的,因为唯一可以窃取的 cookie 是他或她自己的。
问问题
177 次
1 回答
1
Maaaybe,因为听起来你说只有用户 A 可以看到用户 A 提交的 HTML,但你仍然必须小心,因为我们假设用户 A 知道所有数据正在提交到他或她的代表。考虑以下攻击。
- 诱骗用户 A 访问我的恶意网站。
- 自动向您的网站提交包含恶意 HTML 的表单。
- 将用户 A 重定向到您的网站,在那里他们将看到我的恶意 HTML,该 HTML 窃取了他们的 cookie 并将其发送给我。
如果你实施了阻止我代表用户提交的 CSRF 保护,也许你会没事,但这仍然有点可怕。如果用户需要能够使用 HTML(但他们通常不需要),请考虑使用HTML Purifier之类的工具,该工具允许已知安全的 HTML,但阻止潜在的恶意 HTML:这样,大多数合法用例可能会得到满足,但即使其他安全系统崩溃,XSS 也几乎是不可能的。它很容易实现,并且为额外的安全级别付出了很小的代价。
于 2013-01-13T20:27:44.853 回答