Заинтересовало меня, как защищаются от XSS и прочих вредных действий сервисы, которые позволяют пользователям размещать произвольный HTML на своих страницах.
Посмотрел как это сделано на блоггере. Там разрешается делать для блогов произвольные шаблоны, при этом на страничке каждого блога есть панелька управления залогиненого пользователя и можно оставлять комментарии под своим именем.
Это означает, что на страничке каждого блога система вас опознаёт, значит используются общие cookie.
Что же защищает людей от воровства cookie?
Как выяснилось (впрочем, и ожидалось) для разных действий запрашиваются странички с разных доменов. С домена блога (nickname.blogger.com) запрашивается только текстовые контент самого блога. Панелька управления с именем залогиненого пользователя и разными ссылками полезными подгружается с помощью iframe с домена blogger.com. Комментарии, хотя и можно просматривать на том же домене, оставлять можно тоже только на домене blogger.com.
Таким образом, для поддоменов bloggerа куки вообще не отдаются. Но тем не менее создаётся ощущение, что ты находишься на домене конкретного блога.
Переход на другой домен для любых персонализированных действий делает сложным (хотя и не совсем невозможным) в реализации AJAX-интерфейс, но взамен владелец блога может размещать на своей страничке всё что угодно, любые скрипты и html-элементы. И безопасность посетителей сервиса сохраняется.
