客户希望能够提供自己的 html 页眉/页脚(出于样式原因),以便当他们重定向到 customer123.ourservice.com 时,该页面看起来像是他们的一部分网站。
出于安全原因,我们是否应该在 HTML 中删除 JavaScript?他们会做任何恶意的事情吗(比如如果它是公共(public)计算机,可能会获得另一个用户的 session )?我注意到其他一些网站并没有费心去剥离 JavaScript...
最佳答案
如果他们可以自定义页眉和页脚,这意味着他们可以根据需要添加 JS。我们以跟踪器为例。
通常,如果恶意用户可以在页脚中注入(inject) JS,那么 XSS 就是一个漏洞,而不是您的客户决定这样做的情况。
就您而言,他们正在使用子域,因此客户可以在您的主域上设置 cookie
这取决于您的 cookie 中是否包含敏感数据。如果没有的话一定不会有任何问题。
流程是: 访客登陆子域。他们为主域设置了一个 cookie。他们重定向或访问者本身进入您的主域。您检查 cookie 内的值,它可能会被损坏。 每个用户都可以更改其 cookie,但其他用户无法使用它。
另一个问题是,如果他们可以设置 cookie,它也会影响其他子域。
关于javascript - 当允许自定义页眉和页脚时,我们是否应该剥离 JavaScript?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39070680/