跨站点脚本编制

Interact是一个内容丰富的内部网平台，我们允许用户使用HTML标记构建页面、小部件和工作流等内容。例如，一些客户通过在使用iFrames的雷竞技rat页面或小部件中托管第三方站点，或者通过实现复杂的HTML accordions，以特定的方式展示他们的内容。通过提供在内部网中存储HTML标记的能力，用户可能会将带有恶意的客户端脚本注入到其他人查看的页面中。这就是所谓的持久XSS(跨站点脚本)攻击。

Interact为管理员提供了为公共操作和特权操作启用或禁用单个标记的能力。

在Interact中没有反射XSS攻击漏洞。

公众及特权行动

Interact中的操作分为两类—公众的行为而且特权的行为．动作所属的类别主要取决于所受影响的内容类型。内容的创建(例如创建一个新的内容页面或博客文章)被认为是一种特权操作，因为它需要为用户分配额外的权限才能完成该操作。

对内容的响应，例如在页面上评论或在论坛上发帖，被视为公共行为，不需要额外的权限。

例如，创建新内容页面的能力需要在内容区域内拥有“内容作者”权限，因此这被认为是特权操作，然而，Interact中的任何用户都可以在没有额外特权的情况下评论时间轴帖子，因此这被认为是公共操作。

这允许组织围绕这些操作构建治理策略，并确保只有受信任的用户才能使用相关的HTML标记。

标签

HTML标签可以根据风险单独分类。一些标签，比如<脚本>表现出比其他更直接的风险(例如:< iframe >)．Interact允许客户配置哪些单独的HTML标记可以在其内容中使用，哪些应该受到限制。然而，在某些情况下，一个标记可以用来注入另一个具有更大风险的标记(例如，内联样式可以用来执行XSS攻击而不使用脚本标记)。

在某些情况下，HTML标记的限制将阻止功能被用于交互。雷竞技网站上如果使用< iframe >标签是受限制的，嵌入一个iFrame在一个自由文本小部件将不再工作，导致在你的主页中显示第三方网站的能力丧失。

当决定哪些HTML标记(如果有的话)可以在Interact中使用时，客户应该考虑潜在的功能损失和使用HTML标记可能带来的风险。这应该与支持团队讨论，然后支持团队可以做出所需的修改。

下面列出了可被禁用的标记，每个标记可以单独地和独立于其他类别的操作类别被禁用。例如，可以为公共操作禁用脚本标记，但为特权操作启用它们。

可用的标记是<脚本>，< iframe >，< >形式，<对象>，<嵌入>，<链接>，< >头，< meta >，<时尚>．

配置

默认情况下，所有标记都为特权操作和公共操作启用。如果您想对不同标签的配置进行任何更改，请联系Interact服务台，他们将能够为您进行所需的更改。

工作流程及表格

工作流和表单应用程序允许管理员构建HTML表单，以电子形式反映业务流程。按照设计，Interact允许管理员在构建表单时不受限制地添加任何HTML标记。

当用户填写表单时，他们不能在回答问题时添加HTML标签。