如何解决避免在我自己的网站中进行会话劫持
我最近创建了一个小型网站,用户可以在该网站上登录(会话以HttpOnly标志存储为cookie)。 用户可以创建和上传自己的文件,并与朋友/同事共享其中的一些文件,甚至可以将其完全公开。
我的问题是这些文件可以是运行自己的自定义JavaScript的HTML文件(我想继续支持此功能,即允许它们具有自定义JavaScript)。
但是,由于所有这些都是在同一个域中发生的,因此没有CORS可以保护用户。这意味着有可能使恶意用户使用自定义JavaScript创建页面,该页面将为查看该页面的用户(包括私有文件)获取所有其他文件。并将这些文件发送给恶意用户。此外,自定义JavaScript还可以从其他端点获取该用户的其他私人信息。
是否有人有解决这种安全风险的好方法(同时仍保留允许用户使用自定义JavaScript拥有自己的HTML页面的功能)?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。