允许用户向网站标题添加内容的安全漏洞

时间:2012-05-02 16:12:48

标签: javascript security google-analytics

在我的应用程序中,我让注册用户创建自己的个人网站,我想让他们在网站标题中添加分析代码。我知道让他们添加自己的内容存在风险,所以我只限于让他们添加Google Analytic代码。

  1. 如果我让他们将自己的JavaScript输入网站标题,会发生什么情况更糟。

  2. 如何才能仅限制要添加的Google Analytic代码?

2 个答案:

答案 0 :(得分:5)

不要让他们添加整个JavaScript。您添加了JavaScript并让他们设置了Google Analytics ID,您可以将其验证为格式正确。这样他们就无法向您的网站添加任何代码,您可以轻松淘汰不良值。

答案 1 :(得分:3)

  1. 哦,让我们看看......他们可以将用户重定向到网上诱骗或恶意软件网站;尝试设置下载驱动器;完全重写整个页面内容并从用户窃取会话,登录凭据和其他信息或以其他方式破坏网站;当用户的浏览器在您的网站上时,将一个键盘记录器安装到用户的浏览器中......

  2. 编写一张支票,确保提供的ID字符串符合所有anayltics ID必须遵循的模式。仅允许可能出现在分析ID中的字符。自己生成周围js代码的其余部分。在评论中@yahelc提供了正则表达式^UA-\d+-\d+$来验证UA ID。