我正在创建一个网站,让人们可以使用子域创建自己的网站。让人们将自定义 javascript 添加到他们的页面是否有任何安全隐患?如果有,有哪些?跨站脚本?饼干嗅探?我可以通过清理 html 来使其工作吗?
现在我不允许这样做,但让人们自己决定会很棒。我注意到 Github 托管页面有用户在其上输入了 javascript。
问问题
133 次
1 回答
3
有什么安全隐患吗?
有负载。您可以使用 javascript 执行的任何操作,恶意网站所有者都可以在您的网站上执行任何操作。
- 从登录表单中获取用户的密码并将其发送到其他地方,然后再允许他们正常登录。
- 用与您的应用程序工作方式无关的内容完全覆盖页面。(我已经看到这样做了。这是药房垃圾邮件。可能是网络钓鱼页面。)
- 创建一个开放的重定向。
- 通过在后台重复请求目标页面,导致站点访问者参与 DDoS。
您可能会注意到所有这些都针对您网站的用户。除非在您访问恶意网站时通过网络钓鱼或会话劫持您,否则允许使用 javascript 不太可能导致您的网络服务器受到损害。
扫描新的 javascript 中的危险关键字不太可能起作用,因为恶意用户可以使用 javascript 本身编写不同的 javascript。
将所有 cookie 设置为httponly将保护它们免受 javascript 的影响。(无论如何你都应该这样做。)
您可能会根据您与客户的关系决定所有这些都是可以接受的,但是您应该清楚地知道当您允许使用 javascript 时您允许什么。
于 2013-05-18T11:21:06.303 回答