私が構築しているWebアプリケーションの一部として、現在ログインしているユーザーが自分のログインしているプロフィールにのみ表示されるコンテンツを編集できるiframeがあります。ログインしていないユーザーがいるパブリックページに表示されます。ASP.NET編集可能なIFrameをXSSから保護する
これは、コンテンツを入力したユーザーまたは公開サイトのユーザーのみがコンテンツを表示できるため、XSSのリスクは重複していますか?彼らは自分のページにのみJavaScriptを注入することができれば、彼らは自分のクッキーにアクセスできますか?そして、そのコンテンツを、(異なるサブドメイン上の)ログインユーザーの概念を持たないパブリックページに表示すると、アクセスするクッキーはありません。
XSSの危険性についての私の単純な見解は間違っていますか?
認証クッキー情報を盗むアンソニー
は実際に注射は他のユーザーにもたらすことができるJavaScriptの唯一の害はありません。リダイレクト、フォーム提出、迷惑なアラート、その他数え切れないほどの悪いことが起こる可能性があります。ユーザーが提供するHTMLコンテンツを信頼してはならず、他のユーザーには表示しないでください。 htmlの挿入を避けるために、ユーザーがhtmlを提供できるようにするには、一般的な考え方として、事前定義されたhtmlタグを使用することです。例えば、テキストや区切りの段落など、とjavascript。提供されたhtmlを解析し、それらのタグ以外のすべてを削除します。
HtmlAgilityPackや、ユーザーが提供するhtmlの解析に役立つその他のライブラリを使用できます。不必要なソースをフィルタリングして削除し、安全なマークアップだけを残すよりも簡単です。
多くの場合、攻撃者はサイトを攻撃する際に複数の脆弱性を使用します。ユーザーにXSSを許可することにはいくつかの問題があります。
CSRF - 悪意のあるデータをユーザーのプロフィールに投稿してXSSします。コンテンツと
クリックジャッキング - その内容は公開ページに表示されている場合、それは自動的にユーザーのコンピュータを乗っ取るエクスプロイトを含む別のサイトにユーザーをリダイレクトすることができ、またはそれらはポルノにリダイレクトすることができhttp://blog.kotowicz.net/2011/07/cross-domain-content-extraction-with.html
次を参照してください。