お客様はcustomer123.ourservice.comにリダイレクトされると、自分のサイトの一部のように見えるように、スタイリングの理由から独自のhtmlヘッダー/フッターを提供できるようにしたいと考えています。カスタムヘッダーとフッターを許可するときにJavaScriptを削除する必要がありますか?
セキュリティ上の理由から、JavaScriptをHTMLで削除する必要がありますか?彼らは何か悪意のあるものを行うことができますか(公共のコンピュータが別のユーザーのセッションを取得しているような場合)?私はいくつかの他のサイトがJavaScriptをストリッピングするのを気にしないことに気づいています...
ヘッダーとフッターをカスタマイズできれば、必要に応じてJSを追加できます。たとえば、トラッカーとしましょう。
一般的に、XSSは、悪質なユーザーがフッターにJSを挿入できる脆弱性です。あなたのケースでは
、彼らはあなたのクッキー内の機密データを持っているのであれば依存そうそう、顧客があなたのメインドメイン
にクッキーを設定することができ、サブドメインを使用しています。もしあなたがいなければ何も問題はないはずです。
フローは次のようになります。 訪問者がサブドメインに移動します。彼らはメインドメインのクッキーを設定します。リダイレクトや訪問者は、メインドメインに移動します。クッキー内の値をチェックすると、クッキーが破損する可能性があります。 すべてのユーザーはCookieを変更できますが、他のユーザーは利用できません。
もう1つの問題は、Cookieを設定できる場合、他のサブドメインにも影響を与える可能性があることです。
答えSylwitに感謝します。私が思っていたのは、「ダッシュボード。サービス.com」で商品を持ち、自分のページが 'customer123.ourservice.com'でホストされている場合、ここにセキュリティ上の問題は見えますか?私たちが注意しなければならないものは何ですか? –
私の答えをより明示的に編集しました – Sylwit
編集ありがとう!もっと理にかなっている。クッキーに保存するのは、ユーザーセッションID(ログイン時)だけです。したがって、ユーザーがログインしていて、別の悪意のあるユーザーが顧客にサブドメインを訪問するよう求めた場合、セッションを傍受することができます... –
公共のコンピュータでそれを行うことができれば、あなたのJavascriptも安全な公共のコンピュータではないでしょう。 – Barmar