这是我之前的 XSS 问题的扩展。
假设没有足够强大的正则表达式来保证用户输入的 URL 的 XSS 安全,我正在查看使用重定向。
(虽然如果你有一个,请在另一个问题下添加它)
我们有用户输入的网址,所以:
stackoverflow.com
他们希望为其他用户显示一个链接,因此:
<a href="http://stackoverflow.com">stackoverflow.com</a>
为了降低黑客攻击的风险,我打算使用警告页面,因此链接变为:
<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>
然后在该页面上会有一条警告消息和一个指向原始链接的普通链接:
<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>
由于我们使用了很多 Ajax,我想让离开站点的页面成为一个有围墙的花园,理想情况下,基本上只在该页面中注销用户。我希望他们在原始页面上保持登录状态。
然后,如果有人确实通过了 santisation Regex,他们将无法以受骗用户的身份访问任何内容。
有人知道怎么做吗?是否可以在不全部注销的情况下注销一个窗口/选项卡?我们支持 IE 和 FX,但理想的解决方案也适用于 Opera/Chrome/Safari。