用户输入了 Javascript 安全隐患 [关闭]

Question

我正在创建一个网站，让人们可以使用子域创建自己的网站。 让人们将自定义 javascript 添加到他们的页面是否会产生任何安全隐患？如果是，哪些？跨站脚本？饼干嗅探？我可以通过清理 html 使其工作吗？

现在我不允许这样做，但让人们自己决定会很棒。我注意到 Github 托管的页面有用户在上面输入了 javascript。

Answer 1

任何安全隐患？

有负载。您可以使用 javascript 执行的任何操作，恶意网站所有者都可以在您的网站上执行任何操作。

• 在允许用户正常登录之前，从登录表单中获取用户密码并将其发送到其他地方。
• 用与应用程序工作方式无关的内容完全覆盖页面。 （我已经看到这样做了。这是药房垃圾邮件。可能是网络钓鱼页面。）
• 创建一个open redirect。
• 通过在后台重复请求目标页面，导致网站访问者参与 DDoS。

您可能会注意到所有这些都针对您网站的用户。除非您通过网络钓鱼或会话劫持您访问恶意网站，否则允许使用 javascript 不太可能导致您的网络服务器受到威胁。

扫描新的 javascript 中的危险关键字不太可能起作用，因为恶意用户可以使用 javascript 本身编写不同的 javascript。

将所有 cookie 设置为 httponly 将保护它们免受 javascript 的影响。 （无论如何你都应该这样做。）

您可以根据您与客户的关系决定所有这些都是可以接受的，但您应该清楚地知道当您允许 javascript 时您允许什么。