我正在构建一个网络应用程序&我想让用户能够在他们的个人资料页面上嵌入javascript。现在,我知道这会打开巨大的安全问题(xss& man in the attack attack)。我想允许这个功能,但我想安全地做到这一点。任何人都可以向我指出一些有关如何实现这一目标的简明信息吗?我已经完成了一些谷歌搜索,但全部都是。
答案 0 :(得分:1)
首先,您必须将所有内容嵌入iframe中。最好是在子域(或甚至更好的不同域),因此它无法访问相同的源(存储用户cookie和其他客户端存储的地方),但是你可以等待使用如果您确保正确使用沙盒属性并且知道是否支持
,则使用相同的源(域)将您的Cookie设置为仅限http,以便javascript无法访问它们...
其次,我建议你阅读更多关于sandboxed属性的内容,以限制脚本可以做什么和不能做什么
最重要的是,还要看content security policy来限制可以做什么和不能做什么(它更像是黑/白化的东西)