Esiste il rischio di consentire agli utenti di creare i propri URL

3

Sto per lanciare una piattaforma di eCommerce in cui gli utenti hanno il proprio URL di negozio basato sul nome utente IE il mio nome utente sullo stack è NoobSkie quindi accedo al mio negozio all'indirizzo

www.example.com/noobskie/shop

C'è qualcosa che potrebbe andare storto con questa configurazione con persone che tentano di manipolare gli URL?

    
posta NooBskie 24.04.2017 - 11:44
fonte

4 risposte

2

Dipende dalla convalida in vigore per quanto riguarda il nome utente.

Se già

  • autorizza i caratteri nel nome utente solo alfanumerici
  • limita la dimensione massima dei nomi utente
  • verifica l'unicità del nome utente
  • assicurati che nessun nome utente possa corrispondere all'URL esistente (dipende dal tuo sito, forse questo non è necessario .. È se hai per esempio qualcosa come /default/shop o /welcome/shop )

, non vedo molti rischi:)

    
risposta data 24.04.2017 - 11:46
fonte
2

Consenti agli utenti di personalizzare il proprio negozio? Se possono modificare HTML, potrebbero essere in grado di includere JavaScript, che consentirebbe un attacco di scripting cross-site. Per questo motivo, molti servizi hanno invece URL come: link

    
risposta data 24.04.2017 - 12:27
fonte
2

Poiché Let's Encrypt consente agli amministratori del server di convalidare il dominio utilizzando un endpoint /.well-known/acme-challenge , un utente malintenzionato potrebbe registrare un nome utente .well-known e impostare un negozio con il nome acme-challenge .

È impossibile conoscere tutti i meccanismi di convalida, quindi opterei per la soluzione già proposta da @ paj28, che consiste nel fornire agli utenti un URL sotto forma di $username.example.com .

    
risposta data 24.04.2017 - 12:44
fonte
1

Assicurati che le persone non possano commettere furti di identità usando il tuo sistema o creando account contraffatti. Quello che voglio dire è qualcosa come

example.com/amazon

Le persone potrebbero utilizzare nomi di marchi di terze parti, ad esempio. Questo è illegale in molti paesi e può metterti nei guai di conseguenza.

    
risposta data 24.04.2017 - 17:28
fonte

Leggi altre domande sui tag