ユーザーが Web ページをカスタマイズできるようにするプロジェクトに取り組んでいます。現在、このユーザーは HTML をページに追加できます。私の調査によると、XSS 攻撃は通常、セッションの乗っ取りや Cookie の盗みに使用されているようです。私の質問は、訪問者がこのページにコンテンツを追加することを許可されていない場合、およびページをカスタマイズしたユーザーだけがログインできる場合、XSS 攻撃を防ぐ必要がありますか? 盗むことができるのは彼または彼女自身の Cookie だけなので、私の考えはノーです。
質問する
177 次
1 に答える
1
ユーザー A が送信した HTML をユーザー A だけが見ることができると言っているように聞こえるかもしれませんが、それでも注意が必要です。彼女に代わって。次の攻撃を考えてみましょう。
- ユーザー A をだまして悪意のあるサイトにアクセスさせます。
- 悪意のある HTML を含むフォームを Web サイトに自動送信します。
- ユーザー A をあなたの Web サイトにリダイレクトすると、Cookie を盗んで私に送信する悪意のある HTML が表示されます。
CSRF保護を実装して、私がユーザーに代わって送信できないようにすれば大丈夫かもしれませんが、それでもちょっと怖いです. ユーザーが HTML を使用できるようにする必要がある場合 (ただし、通常はそうではありません)、安全であることがわかっている HTML を許可し、潜在的に悪意のある HTML をブロックするHTML Purifierのようなツールを検討してください。 XSS は、他のセキュリティ システムが崩壊したとしても、ほぼ不可能です。実装は簡単で、その追加レベルのセキュリティに対して支払う代償はわずかです。
于 2013-01-13T20:27:44.853 に答える