标签：security cross-domain xss html javascript

我希望用户能够在域example1.com上的应用程序内提交和呈现不受信任的HTML.为了防止恶意XSS捕获用户的cookie,其想法是在使用不同域的iframe中打开HTML,例如example2.com.但是要查看此HTML,必须在example1.com上登录用户.仅当用户在example1.com上登录并通过身份验证时,才如何仅在example2.com的iframe中呈现HTML？

我在想,也许使用了通过postMessage传递的秘密,该秘密发布了一个表单来呈现HTML,而无需设置cookie.每当我想通过JavaScript更新iframe的内容时,我只需重新创建iframe,然后再次传递密码,然后再次发布表单以呈现不受信任的HTML.恶意JavaScript无法访问该机密,因为该机密仅在发布表单的上一页中存在.这将是一个好的解决方案,还是有更好的选择？

解决方法:

每次用户登录example1.com时,您都会为其创建令牌.

要调用iframe内容,请使用例如example2.com/view.php?page=1\u0026amp;token=dsjahdjkhjh331

因此,恶意脚本只能获取令牌,而不能获取cookie.而且,如果您为令牌创建“指纹”,例如用请求地址(IP)浏览器代理来吸引用户,则窃取令牌就像窃取随机字符串一样.

标签：security,cross-domain,xss,html,javascript
来源： https://codeday.me/bug/20191030/1971726.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。