我开发了一个网站,允许用户将小部件嵌入到他们的个人资料中。
这些小部件允许html并支持从youtube嵌入代码(iframe)到Google Analytics代码(JavaScript)的任何内容。
我最近了解到黑客使用iframe和JavaScript来利用网站登录和ftp访问。
是否有某种PHP解决方案可以集成到我的网站中以避免这些类型的黑客攻击,同时仍然允许用户将HTML小部件嵌入到他们的个人资料中?
答案 0 :(得分:1)
没有
您无法通过机械方式区分所有“好”JavaScript(例如Google Analytics)和“糟糕”JavaScript。 (如果没有你赞成的白名单脚本,那将不可避免地允许用户想要的所有内容,或者将不合适的脚本列入黑名单,这将不可避免地成为一场傻瓜游戏。)
您需要停止允许用户向您的网站注入任意HTML。