Sto creando un sito Web che consente alle persone di creare il proprio sito utilizzando un sottodominio. Vi sono implicazioni sulla sicurezza consentendo alle persone di aggiungere javascript personalizzato alle loro pagine? Se sì, quali? XSS? Cookie che annusa? Potrei farlo funzionare disinfettando l'html?
In questo momento non lo autorizzo, ma sarebbe bello lasciare che le persone decidessero da soli. Ho notato che le pagine ospitate da Github hanno inserito utente javascript su di esse.
La stessa politica di origine per l'accesso DOM isola i sottodomini , quindi l'impatto di XSS è isolato in un sottodominio specifico. Lo stesso criterio di origine per l'ambito cookie isola i sottodomini in quanto non possono leggere o scrivere i cookie di un altro sottodominio. Assicurati che il tuo sito principale sia www.site.com e nessun cookie sia con scope a *.site.com , in quanto sarebbe accessibile (se fosse un Cookie HTTPOnly , non sarebbe accessibile da JavaScript indipendentemente dal suo ambito).
Consentire all'utente di inserire Javascript è praticamente la definizione di Cross Site Scripting (XSS).
La storia del worm worm Samy è un'ottima dimostrazione di cosa può accadere quando un utente può caricare Javascript sul tuo sito. Myspace voleva consentire l'HTML disinfettato, ma l'hacker ha trovato un modo per aggirarlo. Ha messo alcuni Javascript nel senso che chiunque ha visto il suo profilo per "amarlo" e pubblicare la javascript sul proprio profilo.
Leggi altre domande sui tag javascript