Это расширение моего более раннего вопроса XSS .
Предполагая, что Regex не достаточно силен, чтобы гарантировать безопасность XSS для введенных пользователем URL-адресов, на которые я смотрю с помощью перенаправления.
(хотя, если он у вас есть, добавьте его под другим вопросом)
У нас есть пользовательские веб-адреса, поэтому:
1012 * stackoverflow.com *
Они хотят, чтобы ссылка отображалась для других пользователей, поэтому:
<a href="http://stackoverflow.com">stackoverflow.com</a>
Чтобы снизить риск взлома, я планирую использовать страницу с предупреждением, поэтому ссылка становится такой:
<a href="leavingSite.aspx?linkid=1234" target="_blank">stackoverflow.com</a>
Затем на этой странице появится предупреждающее сообщение и простая ссылка на исходную ссылку:
<a href="javascript:alert('oh noes! xss!');">Following this link at your own risk!</a>
Поскольку мы используем много Ajax, я хочу сделать эту страницу уходящим сайтом своего рода огороженным садом, в идеале, по сути, выполняя выход пользователя только на этой странице. Я хочу, чтобы они оставались авторизованными на исходной странице.
Тогда, если кто-то пройдет через регулярное выражение santisation, он не сможет получить доступ к чему-либо как обманутый пользователь.
Кто-нибудь знает, как это сделать? Можно ли выйти из одного окна / вкладки, не выходя из них всех? Мы поддерживаем IE и FX, но в идеале решение будет работать и в Opera / Chrome / Safari.