Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 用户可编辑HTML XSS保护(类似tumblr)_Security_Xss_Tumblr - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 用户可编辑HTML XSS保护(类似tumblr)

Security 用户可编辑HTML XSS保护(类似tumblr)

security

Security 用户可编辑HTML XSS保护(类似tumblr),security,xss,tumblr,Security,Xss,Tumblr,我希望我的服务有这样一个功能:作者可以完全定制页面,但不能窃取用户的cookie Tumblr遇到了一些问题,但成功地解决了它们 所以我需要解决这个问题 没有节制 用户和作者可以完全访问页面的html代码,不需要白名单过滤和模板语言(这就是它现在的工作方式:() 没有机会偷别人的cookie(在其他作者的页面上) 集中式身份验证数据库 可取:在每个作者页面上不进行身份验证 据我所知,tumblr: 独立的域,互不访问Cookie 用户仍然在每个子域上进行身份验证(www.tumblr.com j

我希望我的服务有这样一个功能:作者可以完全定制页面,但不能窃取用户的cookie

Tumblr遇到了一些问题,但成功地解决了它们

所以我需要解决这个问题

  • 没有节制
  • 用户和作者可以完全访问页面的html代码,不需要白名单过滤和模板语言(这就是它现在的工作方式:()
  • 没有机会偷别人的cookie(在其他作者的页面上)
  • 集中式身份验证数据库
  • 可取:在每个作者页面上不进行身份验证
    • 据我所知,tumblr:

  • 独立的域,互不访问Cookie
  • 用户仍然在每个子域上进行身份验证(www.tumblr.com js如何访问主会话cookie?安全吗?)
  • 验证Cookie应为httponly
    • 我可以为用户提供安全舒适的解决方案吗? cookie盗窃是html完全访问的主要问题吗

    我希望我的服务有这样一个功能:作者可以完全定制页面,但不能窃取用户的cookie

    因此,我猜您希望为它们启用javascript,但不希望允许操纵cookies。这应该很简单:只需将其放置在用户页面加载之前:

    if (document.__defineGetter__)
{    
    document.__defineGetter__("cookie", function () { return ""; } );
    document.__defineSetter__("cookie", function () { } );
}
else // IE
{
    Object.defineProperty(document, "cookie",
    {
        get: function () { return ""; },
        set: function () { return true; },
    });
}
    用户仍然在每个子域上进行身份验证(www.tumblr.com js如何访问主会话cookie?安全吗?)

    这也很简单-cookies支持这一点。它的
    属性:

    Set-Cookie: name=value; path=/; domain=.example.com
    验证Cookie应为httponly

    当然,它们应该是为了更好的安全