Это расширение моего earlier XSS question.Регистрация пользователя для одной страницы веб-приложения
Предполагая, что Regex недостаточно силен, чтобы гарантировать безопасность XSS для введенных пользователем URL-адресов. Я рассматриваю использование перенаправления.
(Хотя, если у вас есть один, пожалуйста, добавьте его под другим вопросом)
У нас есть пользовательский ввод веб-адреса, так:
stackoverflow.com
Они хотят ссылка для других пользователей, так:
<a href="http://stackoverflow.com">stackoverflow.com</a>
Для сокращения се риска взлома Я планирую использовать страницу с предупреждением, поэтому связь становится:
<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>
Затем на этой странице будет предупреждением и простая ссылка на оригинальную ссылку:
<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>
Поскольку мы используем много Ajax, я хочу, чтобы страница, оставляющая сайт, была огорожена огороженным садом, в идеале, в основном путем регистрации пользователя только на этой странице. Я хочу, чтобы они оставались вошедшими на исходную страницу.
Затем, если кто-то уходит из релята santisation, они не могут получить доступ к чему-либо как обманутому пользователю.
Кто-нибудь знает, как это сделать? Можно ли выйти из одного окна/вкладки, не выгружая их? Мы поддерживаем IE & FX, но в идеале решение будет работать и в Opera/Chrome/Safari.
Это довольно много, что я подозреваю. Любой способ ограничить эту страницу вообще? – Keith 2008-10-17 12:50:47