【问题标题】:Logging a user out for a single web application page为单个 Web 应用程序页面注销用户
【发布时间】:2010-09-17 17:41:47
【问题描述】:

这是我的earlier XSS question 的扩展。

假设没有足够强大的正则表达式来保证用户输入的 URL 的 XSS 安全性,我正在查看使用重定向。

(如果你有,请在另一个问题下添加)

我们有用户输入的网址,所以:

stackoverflow.com

他们希望为其他用户显示链接,因此:

<a href="http://stackoverflow.com">stackoverflow.com</a>

为了降低黑客入侵的风险,我打算使用警告页面,因此链接变为:

<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>

然后在该页面上会有一条警告消息和一个指向原始链接的普通链接:

<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>

由于我们使用了很多 Ajax,因此我想使离开站点的页面成为一个有围墙的花园,理想情况下,基本上只在该页面中注销用户。我希望他们在原始页面上保持登录状态。

那么,如果有人确实通过了正则表达式的验证,他们将无法以受骗用户的身份访问任何内容。

有人知道怎么做吗?是否可以在不全部注销的情况下注销一个窗口/选项卡?我们支持 IE 和 FX,但理想的解决方案也适用于 Opera/Chrome/Safari。

【问题讨论】:

    标签: c# asp.net security xss


    【解决方案1】:

    不可能只在一个标签/窗口中注销某人。

    【讨论】:

    • 这几乎是我的怀疑。那么有什么办法可以限制这个页面呢?
    【解决方案2】:

    将 cookie 限制在 www.example.com 并在 links.example.com 上拥有转发页面

    【讨论】:

      猜你喜欢
      • 2015-03-11
      • 1970-01-01
      • 2013-08-26
      • 2013-10-20
      • 1970-01-01
      • 2019-09-20
      • 1970-01-01
      • 2019-04-21
      • 2015-09-27
      相关资源
      最近更新 更多