7

私は自分のサービスにそのような機能を持たせたいと思っています。作成者はページを完全にカスタマイズできますが、ユーザーの Cookie を盗むことはできません。

Tumblrはそれでいくつかの問題を抱えていましたが、うまく解決しましたhttp://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html

だから私は解決策が必要です

  1. 節度なし
  2. ユーザー作成者向けのページの html コードへのフル アクセス、ホワイト リスト フィルタリングとテンプレート言語を必要としない (これが現在の動作方法です :( )
  3. お互いの Cookie を盗む機会がない (他の作成者のページで)
  4. 集中認証データベース
  5. 望ましい: 各著者ページでの認証なし

私がタンブラーを理解しているように:

  1. 互いの Cookie にアクセスせずにドメインを分離する
  2. ユーザーは引き続き各サブドメインで認証されます (どのように??? www.tumblr.com js はメイン セッション Cookie にアクセスできますか? それは安全ですか?)
  3. 認証 Cookie は httponly である必要がありますか?..

ユーザーにとって安全で快適なソリューションを提供できますか? HTML へのフル アクセスの主な問題は Cookie の盗難ですか?

4

1 に答える 1

3

私は自分のサービスにそのような機能を持たせたいと思っています。作成者はページを完全にカスタマイズできますが、ユーザーの Cookie を盗むことはできません。

したがって、JavaScriptを有効にしたいが、Cookieの操作を許可したくないと思います。これは簡単です: ユーザーのページが読み込まれる前に配置するだけです:

if (document.__defineGetter__)
{    
    document.__defineGetter__("cookie", function () { return ""; } );
    document.__defineSetter__("cookie", function () { } );
}
else // IE
{
    Object.defineProperty(document, "cookie",
    {
        get: function () { return ""; },
        set: function () { return true; },
    });
}

ユーザーは引き続き各サブドメインで認証されます (どのように??? www.tumblr.com js はメイン セッション Cookie にアクセスできますか? それは安全ですか?)

これも単純です - クッキーはこれをサポートしています。そのdomain属性:

Set-Cookie: name=value; path=/; domain=.example.com

認証 Cookie は httponly である必要がありますか?..

もちろん、セキュリティを強化するためのものです

于 2013-08-18T14:42:46.263 に答える