クイック追記:これはポストIs It Possible to Sandbox JavaScript Running In the Browser?のない「が重複する可能性」である、それはクッキーについて何がなかった - と私は依頼する必要がありますクッキーについて私は答えを読んだ。防止(おそらくグーグルCAJAを使用して)クッキーを読み込むコード
こんにちは!私は(登録ユーザ)がのHTMLページを作成して簡単にアクセスして編集できるウェブページを持っています。アクションを行い、ユーザーがアクションをどのアカウントにユーザーが実行されるされていることを
ユーザーがアクションを行うたびに、ログイントークンがある(つまりユーザーを確認するために、)を証明します実行されなければならないアクションに沿ってサーバーに送信されます。 (クイックノート:私が保存しているトークンはではないユーザーのパスワードです、ログインごとにランダムに生成される文字列です)。そしてこれはうまくいくが、問題がある。
ユーザーはのHTMLページを作成できるため、ユーザーのログインCookieを読み取って誰かに送信するページを作成できます。この方法を使用すると、誰かが他の人のアカウントに入る可能性があります。
約https://developers.google.com/caja/と聞いたことがありますが、非常に便利だったようです。 CAJAページを読んでいますが、Cookieの防止については何もありませんでした。
理想的には、ユーザーが独自のCookieを保存して読むことができますが、ログイントークンは保存できないようにしたいと考えています。 それはおそらく不可能です。
したがって、ユーザーが作成したスクリプトをCookieの読み取りまたは書き込みから完全にブロックすると機能します。
しかし、問題があります:私はにCAJA完全に新しいです。誰かが、CAJAを使ってクッキーをブロックする方法を説明できますか、それとも実際には何か?
この質問はかなり古いですが、私はちょうどカハを使用し始め、事前に