我正在构建一个在设计模式中包含IFrame的webapp,这样我的用户就可以“挞”他们的内容并粘贴内容以显示在他们的页面上。就像大多数博客引擎或论坛上的WYSIWYG编辑器一样。
我正在考虑插入所有潜在的安全漏洞,其中一个是用户粘贴Javascript:
<script type="text/javascript">
// Do some nasty stuff
</script>
现在我知道我可以在服务器端删除它,然后保存它和/或恢复它,但是我担心有人能够粘贴一些脚本并在那里运行它然后,甚至没有将其发送回服务器进行处理。
我什么都不担心?
任何建议都会很棒,找不到太多搜索谷歌。
安东尼
答案 0 :(得分:3)
...我担心有人能够粘贴一些脚本然后在那里运行它,然后甚至没有将它发送回服务器进行处理。
我什么都不担心?
Firefox有一个名为Greasemonkey的插件,它允许用户对任何加载到浏览器中的页面随意运行JavaScript,而且你无能为力。 Firebug允许您修改网页以及运行任意JavaScript。
AFAIK,你真的只需要担心它到达你的服务器,然后可能会打击其他用户。
答案 1 :(得分:2)
正如杰森所说,我会更专注于清理服务器端的数据。除非您使用Silverlight / Flex,否则您在客户端实际上没有任何真正的控制权,即使这样您也需要检查服务器。
那就是说,以下是来自“A List Apart”的一些提示,您可能会发现有关服务器端数据清理的帮助。