Security 用户可编辑HTML XSS保护(类似tumblr)
我希望我的服务有这样一个功能:作者可以完全定制页面,但不能窃取用户的cookie Tumblr遇到了一些问题,但成功地解决了它们 所以我需要解决这个问题Security 用户可编辑HTML XSS保护(类似tumblr),security,xss,tumblr,Security,Xss,Tumblr,我希望我的服务有这样一个功能:作者可以完全定制页面,但不能窃取用户的cookie Tumblr遇到了一些问题,但成功地解决了它们 所以我需要解决这个问题 没有节制 用户和作者可以完全访问页面的html代码,不需要白名单过滤和模板语言(这就是它现在的工作方式:() 没有机会偷别人的cookie(在其他作者的页面上) 集中式身份验证数据库 可取:在每个作者页面上不进行身份验证 据我所知,tumblr: 独立的域,互不访问Cookie 用户仍然在每个子域上进行身份验证(www.tumblr.com j
if (document.__defineGetter__)
{
document.__defineGetter__("cookie", function () { return ""; } );
document.__defineSetter__("cookie", function () { } );
}
else // IE
{
Object.defineProperty(document, "cookie",
{
get: function () { return ""; },
set: function () { return true; },
});
}
用户仍然在每个子域上进行身份验证(www.tumblr.com js如何访问主会话cookie?安全吗?) 这也很简单-cookies支持这一点。它的
域
属性:
Set-Cookie: name=value; path=/; domain=.example.com
验证Cookie应为httponly 当然,它们应该是为了更好的安全