Google은 사용자가 파일을 업로드 할 수있는 저장소 역할을하는 내부 웹 응용 프로그램을 보유하고 있습니다. 이러한 파일은 HTML 페이지를 포함하여 모든 형식이 될 수 있습니다.HTML 다운로드시 XSS를 피할 수 있습니까?
쿠키에 액세스하려고하는 일부 스크립트가 포함 된 HTML 파일을 다운로드하고 다운로드 한 후 "열기"옵션을 선택하면 스크립트가 실행되고 쿠키 정보가 없으므로 IE8에서 테스트했습니다. 전혀 문제가 없습니다.
실제로이 스크립트는 XmlHttpRequest 개체를 사용하여 서버를 호출하고 파일을 다운로드 한 사용자 세션에서 일부 악의적 인 작업을 수행 할 수 있습니다.
이 문제를 방지 할 수있는 방법이 있습니까? 우리는 Chrome과 Firefox 모두 이러한 일이 발생하지 않도록 테스트했습니다. IE8을 포함한 모든 브라우저에서이 문제를 어떻게 피할 수 있습니까?
실제로 "열기"란 무엇입니까? 브라우저에 페이지를 표시 하시겠습니까? 그렇다면 페이지의 URL은 어떻게됩니까? – bzlm
@bzlm : 첨부 파일과 비슷합니다. 브라우저가 다운로드 창 (콘텐츠 처리)을 묻도록 강요하면 열기를 클릭 할 수 있으며 쿠키를로드하는 데 사용 된 URL을 사용하여 열 수 있습니다. 쿠키는 쿠키와 동일한 도메인에 있으므로 분명히 내 제안입니다. 대체 도메인에서 실행 (다운로드). –
@bzlm이 올바른 위치에 있습니다. HTML 파일을 로컬에서 열면 단일 도메인 정책으로 인해 원격 서버에 쿠키에 액세스하거나 Ajax 요청을 발행 할 수 없습니다. 서버에 직접 열리는 경우에만 가능합니다. –