我想通过浏览器插件在随机页面上显示一些框。这些盒子的内容也是随机的。
是否需要从所述框中删除脚本以便为用户提供安全体验?
我必须把框放在iframe中吗?
我是否从HTML中删除了其他代码? (正在删除“脚本”标签吗?)
你知道某个库可以自动完成吗?
答案 0 :(得分:1)
我必须把框放在iframe中吗?
是或否,取决于您对安全的定义。 这不会阻止脚本启动恶意软件下载,将用户重定向到网络钓鱼页面,XSRFing用户当前登录的设计不佳的网站。
是否需要从所述框中删除脚本以便为用户提供安全体验?
没有。嵌入脚本有很多种方法,简单的检查很少能正确。例如,脚本可以嵌入链接,CSS,SVG,数据:URL等。 不要滚动自己的HTML清理程序。
与您关于安全HTML小部件的问题直接相关但是沙盒JavaScript。看到 http://code.google.com/p/google-caja/wiki/CorkboardDemo
答案 1 :(得分:1)
否,平面HTML仍然可能是恶意的。可以使用<iframe>来加载来自任何网站的漏洞利用。可以使用<img>标记来利用基于GET的跨站点请求伪造(CSRF)漏洞。基于POST的CSRF漏洞需要一行javascript或一些用户交互。
删除javascript表单html远比删除脚本标记复杂得多。 HTMLPurier由数百个正则表达式组成,是删除javascript的最佳方法,但它并不完美。
答案 2 :(得分:0)
这一切都取决于内容来自何处以及内容是什么类型。
例如,如果内容只是您网站上的文字,则可能需要过滤掉HTML,以防万一。