2008-10-17 3 views
0

이것은 내 earlier XSS question의 확장입니다.단일 웹 응용 프로그램 페이지에 대해 사용자 로깅

사용자가 입력 한 URL에 대해 XSS 안전성을 보장 할만큼 강력한 Regex가 없다고 가정하면 리디렉션을 사용할 것입니다.

(당신이 할 경우 하나가 다른 질문에서 추가하십시오 있지만)

우리는 그래서, 사용자 입력 웹 주소를 가지고 :

이 stackoverflow.com

그들이 원하는 다른 사용자에게 표시되는 링크 :

<a href="http://stackoverflow.com">stackoverflow.com</a> 

내가 경고 페이지를 사용할 계획입니다 해킹의 위험을 CE, 그래서 링크가된다 :

<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a> 
:

<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a> 

그런 다음 해당 페이지에 경고 메시지가 원래 링크에 대한 일반 링크가있을 것입니다

우리는 많은 Ajax를 사용하기 때문에 그 이탈 사이트 페이지를 근사한 정원으로 만들고 싶습니다. 이상적으로는 그 페이지에만 사용자를 로깅하는 것이 이상적입니다. 원래 페이지에 로그인 한 상태로 유지하고 싶습니다.

누군가가 santisation Regex를 지나치게되면, 속은 사용자로 아무 것도 액세스 할 수 없습니다.

누구든지이 작업을 수행하는 방법을 알고 있습니까? 로그 아웃하지 않고 하나의 창/탭을 로그 아웃 할 수 있습니까? 우리는 IE & FX를 지원하지만 이상적으로는 Opera/Chrome/Safari에서도 이상적으로 사용할 수 있습니다.

답변

1

하나의 탭/창에서 누군가를 로그 아웃하는 것은 불가능합니다.

+0

그건 제가 의심하는 것 같습니다. 이 페이지를 제한하는 방법은 무엇입니까? – Keith

0

쿠키를 www.example.com으로 제한하고 links.example.com에 전달 페이지가 있습니다.