Benutzerdefinierbarer HTML-XSS-Schutz (tumblr like)

8

Ich möchte, dass mein Dienst eine solche Funktion hat: Der Autor kann die Seite vollständig anpassen, aber die Cookies der Nutzer nicht stehlen.

Tumblr hatte einige Probleme damit, aber löste sie erfolgreich >

Also brauche ich die Lösung mit

  1. keine Moderation
  2. vollen Zugriff auf HTML-Code von Seiten für Benutzer-Autoren, nicht wollen, White-List-Filterung und Templating Sprache (so ist es jetzt funktioniert :()
  3. keine Gelegenheit, sich gegenseitig Cookies zu stehlen (auf Seiten anderer Autoren)
  4. zentrale Authentifizierungsdatenbank
  5. wünschenswert: ohne Authentifizierung auf jeder Autorenseite

Wie ich tumblr verstehe:

  1. getrennte Domains ohne Zugriff auf die Cookies voneinander
  2. Benutzer sind immer noch in jeder Subdomain authentifiziert (WIE ??? www.tumblr.com js hat Zugang zu Hauptsitzungscookies? Ist das sicher?)
  3. auth Cookies sollten httponly sein? ..

Kann ich eine sichere und bequeme Lösung für den Benutzer haben? Ist Cookie-Diebstahl das Hauptproblem des vollständigen Zugriffs auf HTML?

    
Alexander Ulitin 28.04.2013, 21:03
quelle

1 Antwort

3
  

Ich möchte, dass mein Dienst eine solche Funktion hat: Der Autor kann die Seite vollständig anpassen, aber die Cookies der Nutzer nicht stehlen.

Ich nehme an, dass Sie Javascript für sie aktivieren möchten, aber Sie nicht zulassen möchten, Cookies zu manipulieren. Dies sollte einfach sein: Einfach platzieren, bevor die Benutzerseite geladen wird:

%Vor%
  

Benutzer sind immer noch in jeder Subdomain authentifiziert (WIE ??? www.thumblr.com js hat Zugriff auf Haupt-Session-Cookies? Ist das sicher?)

Das ist auch einfach - Cookies unterstützen dies. Sein Attribut domain :

%Vor%
  

auth Cookies sollten httponly sein? ..

Natürlich sollten sie für die bessere Sicherheit sein

    
Zaffy 18.08.2013 14:42
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Linux-Kernel-Modul Programmierung: Makefile