質問のタイトルがわかりづらくてすみません。
現在、登録したユーザーが、自分しか見ることのできない、HTMLを使って自由にメモを書くことができるWebサービスを作ろうと考えています。
このWebサービスにユーザー登録すると、HTMLを使って自由にWebページを作ることができます。このWebページは、作成者本人しか、閲覧・編集することができません。
ここで質問ですが、このような場合、何かセキュリティー上、問題が生じるでしょうか?
第三者は、作成されたWebページにアクセスできないため、攻撃者が悪意のあるJavaScriptのコードを書いても、被害に遭う(?)のは攻撃者本人のみだと思います。もしかして、攻撃者が悪意のあるWebページを作成し、攻撃者のセッションIDを、何らかの方法で被害者のブラウザーにセットし、本来は作成者しか見ることのできないWebページに被害者を誘導することによって、被害者の端末を攻撃するのでしょうか。だとしても、この場合、このWebサービスのセッションIDの管理方法に問題があるような気がします。
今回のケースでも、やはり、HTML Purifierのようなライブラリを使って、HTMLを無害化したりといった対策が必要となるのでしょうか?よろしくお願いします。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/04/14 16:05