Javascript 避免跨域请求[XSS/…]
问题: 我想避免任何跨域请求,有什么窍门吗 上下文: 基本上,我正在做一个应用程序,用户可以创建包(mod或扩展是一样的),每个人都可以在以后使用它们 但这当然包括一个巨大的代码注入问题。。因为我只是允许 所以我想通过让每个人都做他们想做的事情来最大化我的应用程序的可扩展性,但同时,我想最小化攻击的可能性 目前,我担心的是与其他网站共享数据 示例: 我的网站将使用cookie进行标识,如果包可以读取cookie并将其发送到任何网站,则攻击者可以访问会话id 或者仅仅使用CSS样式表,您可以在另一个网站上请求一个图像,该图像将记录任何访问数据(ip、用户代理等),所以我不需要这些。我听说reddit禁止在用户主题中使用任何外部资源,他们是如何做到的 问题: 是否有某种方法可以检测路径是否在同一个域中 也许对于正则表达式,与下一个正则表达式匹配就足够了吗/^\s(?[a-z]+:)?///是的,我知道它很难看,但它可以检测是否存在类似http://或ftp://之类的协议,因此路径在任何方面都是相对于域的 最后,还有其他明显的安全风险吗Javascript 避免跨域请求[XSS/…],javascript,security,web,Javascript,Security,Web,问题: 我想避免任何跨域请求,有什么窍门吗 上下文: 基本上,我正在做一个应用程序,用户可以创建包(mod或扩展是一样的),每个人都可以在以后使用它们 但这当然包括一个巨大的代码注入问题。。因为我只是允许 所以我想通过让每个人都做他们想做的事情来最大化我的应用程序的可扩展性,但同时,我想最小化攻击的可能性 目前,我担心的是与其他网站共享数据 示例: 我的网站将使用cookie进行标识,如果包可以读取cookie并将其发送到任何网站,则攻击者可以访问会话id 或者仅仅使用CSS样式表,您可以在另一
感谢对于CSS,您可能可以使用白名单/黑名单方法,因为它是相当声明性的,但即使存在漏洞(您没有想到的方法)。对于JS,您什么也做不了。请明确,想要使用mod的用户必须信任作者。实施审计系统、社区安全审查和审核工具。