当允许自定义页眉和页脚时,我们应该删除 JavaScript 吗?
Should we strip JavaScript when allowing custom header and footer?
客户希望能够提供他们自己的 html header/footer(出于样式原因),以便当他们重定向到 customer123.ourservice.com 时,该页面看起来像是他们的网站。
出于安全原因,我们应该在他们的 HTML 中删除 JavaScript 吗?他们可以做任何恶意的事情吗(比如如果它是 public 计算机可能会获得另一个用户的会话)?我注意到其他一些网站不介意剥离 JavaScript...
如果他们可以自定义页眉和页脚,这意味着他们可以添加 JS want/need。比方说一个追踪器。
通常情况下,如果恶意用户可以在页脚中注入 JS,则 XSS 是一个漏洞,而不是您的客户决定这样做。
在你的例子中,他们使用的是子域,所以是的,客户可以在你的主域上设置 cookie
这取决于您的 cookie 中是否包含敏感数据。如果你不这样做,那一定没有任何问题。
流程是:
访问者登陆子域。他们为主域设置了一个 cookie。他们重定向或访问者自己转到您的主域。您检查 cookie 中的值,它可能已损坏。
每个用户都可以更改其 cookie,但其他用户将无法使用。
另一个问题是,如果他们可以设置 cookie,它也会影响其他子域。
客户希望能够提供他们自己的 html header/footer(出于样式原因),以便当他们重定向到 customer123.ourservice.com 时,该页面看起来像是他们的网站。
出于安全原因,我们应该在他们的 HTML 中删除 JavaScript 吗?他们可以做任何恶意的事情吗(比如如果它是 public 计算机可能会获得另一个用户的会话)?我注意到其他一些网站不介意剥离 JavaScript...
如果他们可以自定义页眉和页脚,这意味着他们可以添加 JS want/need。比方说一个追踪器。
通常情况下,如果恶意用户可以在页脚中注入 JS,则 XSS 是一个漏洞,而不是您的客户决定这样做。
在你的例子中,他们使用的是子域,所以是的,客户可以在你的主域上设置 cookie
这取决于您的 cookie 中是否包含敏感数据。如果你不这样做,那一定没有任何问题。
流程是: 访问者登陆子域。他们为主域设置了一个 cookie。他们重定向或访问者自己转到您的主域。您检查 cookie 中的值,它可能已损坏。 每个用户都可以更改其 cookie,但其他用户将无法使用。
另一个问题是,如果他们可以设置 cookie,它也会影响其他子域。