问题描述
我最近创建了一个小型网站,用户可以在该网站上登录(会话以HttpOnly标志存储为cookie)。 用户可以创建和上传自己的文件,并与朋友/同事共享其中的一些文件,甚至可以将其完全公开。
我的问题是这些文件可以是运行自己的自定义JavaScript的HTML文件(我想继续支持此功能,即允许它们具有自定义JavaScript)。
但是,由于所有这些都是在同一个域中发生的,因此没有CORS可以保护用户。这意味着有可能使恶意用户使用自定义JavaScript创建页面,该页面将为查看该页面的用户(包括私有文件)获取所有其他文件。并将这些文件发送给恶意用户。此外,自定义JavaScript还可以从其他端点获取该用户的其他私人信息。
是否有人有解决这种安全风险的好方法(同时仍保留允许用户使用自定义JavaScript拥有自己的HTML页面的功能)?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)