Tôi muốn dịch vụ của mình có tính năng như vậy: tác giả hoàn toàn có thể tùy chỉnh trang nhưng không thể lấy cắp cookie của người dùng.Bảo vệ XSS HTML người dùng có thể chỉnh sửa (tumblr like)
Tumblr đã có một số rắc rối với điều đó, nhưng giải quyết chúng thành công http://www.riyazwalikar.com/2012/07/stored-persistent-xss-on-tumblr.html
Vì vậy, tôi cần những giải pháp với
- không điều độ
- truy cập vào mã html của trang cho người dùng giả, don không muốn ngôn ngữ lập danh sách và bộ lọc danh sách trắng (đó là cách hoạt động của nó ngay bây giờ :()
- không có cơ hội đánh cắp cookie của người khác (trên trang của các tác giả khác)
- tập trung xác thực db
- mong muốn: không xác thực trên mỗi trang tác giả
Theo tôi được biết tumblr:
- lĩnh vực riêng biệt mà không cần truy cập vào các tập tin cookie của nhau
- người dùng vẫn chứng thực trên mỗi tên miền phụ (CÁCH ??? www.tumblr.com js có quyền truy cập vào các cookie phiên chính không? Là an toàn?)
- cookie auth nên được HttpOnly? ..
Tôi có thể có an toàn và thoải mái cho người dùng giải pháp? Có phải vấn đề chính là truy cập toàn bộ vào html không?