是否可以让网站用户在javascript [1]和css中自定义和存储自己的网页?
[1]他们可以通过javascript API收集有关他们在网站上拥有的内容的信息
答案 0 :(得分:2)
这个问题有很多答案,对问题中不明确的事情作出不同的假设,所以让我澄清一下:
如果您要求用户为自己的自定义页面添加自定义CSS和JavaScript,只有他们可以看到,那么您可以这样做,因为他们无论如何都可以这样做有或没有你的帮助。
如果您要求用户为 orher用户可以看到的任何网页添加自定义CSS和JavaScript,就像他们的个人资料页面一样,那么永远不会让他们这样做。
永远不要让任何人控制其他访问者的JavaScript。永远不要让任何人无限制地控制其他访问者的CSS。永远不要让任何人无限制地控制其他访问者的HTML。 CSS的限制可能只是改变一些颜色,仅此而已。 HTML的限制可能只是使用少量标签进行文本格式化。但他们自己的浏览器向他们显示的内容完全不受您的控制。他们可以注入他们想要的任何HTML,CSS和JavaScript,无论你是否允许他们正式使用它们,你都必须始终牢记这一点。
答案 1 :(得分:1)
我会建议不要使用javascript。很难保持一定的安全水平。
答案 2 :(得分:1)
通常,您不希望让用户A下载并运行用户B创作的Javascript - 安全诡计有巨大的机会。
答案 3 :(得分:1)
css是安全的,但正如其他人所说,允许用户自定义页面的javascript是一个巨大的安全风险。
答案 4 :(得分:1)
如果其他访问者可以看到这些页面,那么没有。想象一下,在 网站上,闪烁的颜色,随机移动的DOM元素以及其他糟糕的设计。
更糟糕的是,如果您允许任意JS,您的其他用户可能会被window.location重定向到另一个看起来与您相同的网站,但会窃取密码。这可能有点极端,但它很容易实现。
如果您不太关心人们访问您网站时获得的印象(例如,如果它是社交网站),您可以让CSS滑动。但我避开了JavaScript,因为它给其他用户带来了大量的安全风险。
答案 5 :(得分:0)
如果您想给用户留下深刻印象,那就去吧。如果您想保持安全,请不要触摸它。