![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
sab123А вот почему никто не рассматривает такое простое решение для атак cross-site-scripting:
Научить браузер поддерживать несколько идентичностей. Вкладывать текст, генерируемый из сомнительных источников, в тэг, говорящий "ссылки тут открывать с новой пустой идентичностью". А чтоб было удобно этими идентичностями оперировать, показывать их типа тэгов сверху, чтоб можно было в явном виде в них ткнуть и влючить конкретную идентичность для конкретной страницы. Или выключить. И заодно показывать, какую идентичность эта страница хочет. Ну, некоторые сложности будут со страницами, составленными из разных по степени доверия фрагментов, но и должно быть не так сложно что-нибудь придумать.
Собственно, я бы очень хотел такое даже помимо XSS-атак.
Научить браузер поддерживать несколько идентичностей. Вкладывать текст, генерируемый из сомнительных источников, в тэг, говорящий "ссылки тут открывать с новой пустой идентичностью". А чтоб было удобно этими идентичностями оперировать, показывать их типа тэгов сверху, чтоб можно было в явном виде в них ткнуть и влючить конкретную идентичность для конкретной страницы. Или выключить. И заодно показывать, какую идентичность эта страница хочет. Ну, некоторые сложности будут со страницами, составленными из разных по степени доверия фрагментов, но и должно быть не так сложно что-нибудь придумать.
Собственно, я бы очень хотел такое даже помимо XSS-атак.
