しぃアンテナ(*゚ー゚)

2025年7月25日金曜日

ユーザー投稿のコードをブラウザ上で他人が動かせるサービスを作るときの対策について

問題1: 他ユーザーの認証情報にアクセスできてしまう 投稿されたコードを普通にサイト内に埋め込むとXSSがやり放題な状態になります。 認証CookieのHttpOnlyが無効になっている場合 ユーザーがたくさん集まる超面白いゲームを作り、その中に以下のようなコードをしれっと含めると、そのゲームを開いたユーザーのアカウン...

Posted from: this blog via Microsoft Power Automate.

0 件のコメント:

コメントを投稿