キャッシュプロキシアクセス制御

Question

私の理解が正しければ、サイトにはサードパーティの電子メールコンテンツが表示されています (つまり、システムが電子メールをダウンロードし、それを Web ページに表示します)。これを行う際には XSS のリスクに十分注意し、受信したコンテンツを適切にエスケープしてレンダリングする必要があります。これは言うほど簡単ではありませんが、特に電子メールの全体的な外観と雰囲気を維持したい場合は、実行するのは困難です。

たとえば、GMail はデフォルトですべてのサードパーティコンテンツを非表示にしており、それを読み込むことを選択した場合、ブラウザは実際に「安全な接続」表示の上に警告サインを表示します。これを選択する場合は、別のドメインを使用することをお勧めします。「Google にとっては十分です」は、おそらく顧客にとって十分な正当化となるでしょう。

単純な方法で実装した場合、あらゆるコンテンツに対して誰かがプロキシを使用することを阻止することはできません。プロキシを実行するサーバーに、何らかの HTTP 認証 (Cookie ベース、HTTP 認証、または TLS クライアント側証明書) を追加できます。通常の設定では、Cookie ベースがおそらく唯一の合理的なオプションです。より洗練された代替手段には、電子メールを解析し、ホットリンクされたリソースを抽出し、URL を書き換えて、プロキシが特別に作成されたプロキシ要求のみを受信し、ユーザーが URL バーに入力したものを受信しないようにすることが含まれます。

構築しているシステムの一般的な使用方法と機能について説明していただければ、より良い解決策を提案できるかもしれません。

Answer 1

私の理解が正しければ、サイトにはサードパーティの電子メールコンテンツが表示されています (つまり、システムが電子メールをダウンロードし、それを Web ページに表示します)。これを行う際には XSS のリスクに十分注意し、受信したコンテンツを適切にエスケープしてレンダリングする必要があります。これは言うほど簡単ではありませんが、特に電子メールの全体的な外観と雰囲気を維持したい場合は、実行するのは困難です。

たとえば、GMail はデフォルトですべてのサードパーティコンテンツを非表示にしており、それを読み込むことを選択した場合、ブラウザは実際に「安全な接続」表示の上に警告サインを表示します。これを選択する場合は、別のドメインを使用することをお勧めします。「Google にとっては十分です」は、おそらく顧客にとって十分な正当化となるでしょう。

単純な方法で実装した場合、あらゆるコンテンツに対して誰かがプロキシを使用することを阻止することはできません。プロキシを実行するサーバーに、何らかの HTTP 認証 (Cookie ベース、HTTP 認証、または TLS クライアント側証明書) を追加できます。通常の設定では、Cookie ベースがおそらく唯一の合理的なオプションです。より洗練された代替手段には、電子メールを解析し、ホットリンクされたリソースを抽出し、URL を書き換えて、プロキシが特別に作成されたプロキシ要求のみを受信し、ユーザーが URL バーに入力したものを受信しないようにすることが含まれます。

構築しているシステムの一般的な使用方法と機能について説明していただければ、より良い解決策を提案できるかもしれません。

キャッシュプロキシアクセス制御

答え1

関連情報