サブドメインを使用して独自のサイトを作成できる Web サイトを作成しています。ページにカスタム JavaScript を追加できるようにすることで、セキュリティ上の影響はありますか? もしそうなら、どれですか?XSS? クッキー盗聴?HTMLをサニタイズすることで機能させることができますか?
今は許可していませんが、人々が自分で決められるようにするのは素晴らしいことです. Github がホストするページに、ユーザーが JavaScript を入力していることに気付きました。
質問する
133 次
1 に答える
3
セキュリティへの影響はありますか?
負荷があります。JavaScript でできることはすべて、悪意のあるサイト所有者がサイトで実行できる可能性があります。
- ログインフォームからユーザーのパスワードを取得し、通常のログインを許可する前に別の場所に送信します。
- アプリケーションの動作に関係のないものでページを完全に上書きします。(これが行われているのを見たことがあります。これは薬局のスパムでした。フィッシング ページである可能性があります。)
- オープン リダイレクトを作成します。
- バックグラウンドでターゲット ページを繰り返し要求することにより、サイトへの訪問者を DDoS に参加させます。
これらすべてがサイトのユーザーをターゲットにしていることに気付くかもしれません。悪意のある Web サイトにアクセスしたときにフィッシングやセッション ハイジャックによるものでない限り、javascript を許可しても Web サーバーが侵害される可能性はほとんどありません。
悪意のあるユーザーは、javascript 自体を使用して別の javascript を作成できるため、新しい JavaScript をスキャンして危険なキーワードを探しても機能しない可能性があります。
すべての Cookie を に設定するhttponlyと、JavaScript から保護されます。(とにかくこれを行う必要があります。)
顧客との関係に基づいて、これらすべてを許容できると判断することもできますが、JavaScript を許可する場合は、何が許可されているかを正確に認識しておく必要があります。
于 2013-05-18T11:21:06.303 に答える