Javascript 从子域到主域的XSS攻击
我正在开发一个应用程序,当每个用户注册时,我在其中为他们设置子域 到目前为止,我允许用户使用一些基本的HTML页面元素创建页面,但我想扩展此选项,允许用户在页面中添加javascript 现在,我担心的是,用户是否可以利用恶意cookie logger或使用javascript提交或任何其他方式执行恶意操作表单来攻击其他用户或接管其他用户帐户?每个“用户javascript”将驻留在不同的子域中 我的当前配置:-Javascript 从子域到主域的XSS攻击,javascript,php,session,cookies,xss,Javascript,Php,Session,Cookies,Xss,我正在开发一个应用程序,当每个用户注册时,我在其中为他们设置子域 到目前为止,我允许用户使用一些基本的HTML页面元素创建页面,但我想扩展此选项,允许用户在页面中添加javascript 现在,我担心的是,用户是否可以利用恶意cookie logger或使用javascript提交或任何其他方式执行恶意操作表单来攻击其他用户或接管其他用户帐户?每个“用户javascript”将驻留在不同的子域中 我的当前配置:- 会话存储在数据库中 域路径设置为“/” 域名设置为空 仅主机访问是真的 仅Http
更新:我也在使用FB登录,谷歌登录oAuth。您是否建议禁用我的注册选项并仅使用oAuth处理此类问题?重要的配置是您的cors标头。如果他们访问相同的cookies,您可以克隆PHP会话,这是一个大的安全问题。我没有设置任何
cors
设置,我相信默认情况下跨组织访问
是禁用的。我说得对吗?在克隆PHP会话时,我在cookie中使用了HTTP only和Host only方法,我相信这会阻止他们通过javascript获取cookie,所以呢?