我正在使用CakePHP 2.6。我想创建一个像blogger(blogspot)这样的网站,每个注册用户都有自己的子域名,并且可以添加其文章添加javascript代码。
允许注册用户在其子域名中添加javascripts是否安全?
由于
答案 0 :(得分:0)
允许注册用户在其上添加javascripts是安全的 子域?
如果完成正确是。搜索JSONP,CSRF,XSS,CORS和same origin policy。
我显然不会在答案中解释所有这一切,这里对这个地方来说远远不够。
答案 1 :(得分:0)
允许来自不受信任来源的任意JavaScript,Flash和其他活动内容(例如iframe等)存在安全风险。通过使用跨站点脚本(XSS),JavaScript和其他活动内容可用于恶意目的。
允许来自不受信任来源的JavaScript过去曾引起过一些问题(其中一个最着名的例子就是MySpace XSS worm)。
有关XSS的概述,我建议您查看Acunetix的following resource。