用户可编辑的HTML XSS保护(tumblr like)

Question

我希望我的服务具有这样的功能:作者可以完全自定义页面,但不能窃取用户的cookie.

Tumblr遇到了一些麻烦,但成功解决了这些问题http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html

所以我需要解决方案

1. 没有节制
2. 完全访问用户 - 作者的页面的html代码,不想要白名单过滤和模板语言(现在它是如何工作的:()
3. 没有机会偷走对方的饼干(在其他作者的网页上)
4. 集中认证db
5. 理想:在每个作者页面上没有身份验证

据我了解tumblr:

1. 单独的域无法访问彼此的cookie
2. 用户仍然在每个子域上进行身份验证(HOW ??? www.tumblr.com js可以访问主会话cookie？这样安全吗？)
3. auth cookies应该是httponly？..

我可以为用户提供安全舒适的解决方案吗？cookie-theft是完全访问html的主要问题吗？

Answer 1

我希望我的服务有这样一个功能：作者可以完全自定义页面，但不能窃取用户的cookie。

所以我猜你想为它们启用 javascript，但又不想允许操作 cookie。这应该很简单：只需将其放在用户页面加载之前即可：

if (document.__defineGetter__)
{    
    document.__defineGetter__("cookie", function () { return ""; } );
    document.__defineSetter__("cookie", function () { } );
}
else // IE
{
    Object.defineProperty(document, "cookie",
    {
        get: function () { return ""; },
        set: function () { return true; },
    });
}

用户仍然在每个子域上进行身份验证（如何？？？www.tumblr.com js 可以访问主会话 cookie？安全吗？）

这也很简单——cookies 支持这一点。其domain属性：

Set-Cookie: name=value; path=/; domain=.example.com

auth cookie 应该是 httponly 吗？...

当然 - 它们应该是为了更好的安全性。