我可以阻止用户将 Javascript 粘贴到设计模式 IFrame 中吗？

题

我正在构建一个在设计模式下包含 IFrame 的 Web 应用程序，以便我的用户可以“启动”其内容并粘贴要在其页面上显示的内容。就像大多数博客引擎或论坛上的所见即所得编辑器一样。

我正在尝试考虑需要堵住的所有潜在安全漏洞，其中之一是用户在 Javascript 中粘贴：

<script type="text/javascript">

// Do some nasty stuff

</script>

现在我知道我可以在保存它和/或将其返回之前在服务器端将其删除，但我担心有人能够粘贴一些脚本并在那里运行它，甚至无需发送返回到服务器进行处理。

难道我无忧无虑吗？

任何建议都会很棒，谷歌搜索找不到太多。

安东尼

解决方案

...我担心有人能够粘贴一些脚本并在那里运行它，甚至不将其发送回服务器进行处理。

难道我无忧无虑吗？

Firefox 有一个名为 Greasemonkey 的插件，允许用户对加载到浏览器中的任何页面任意运行 JavaScript，而您对此无能为力。Firebug 允许您修改网页以及运行任意 JavaScript。

AFAIK，您实际上只需要担心它到达您的服务器，然后可能会影响其他用户。

其他提示

正如 Jason 所说，我会更专注于服务器端的数据清理。除非您使用 Silverlight / Flex，否则您实际上在客户端没有任何真正的控制权，即使这样您也需要检查服务器。

也就是说，这里有一些提示 《分开的清单》 您可能会发现有关服务器端数据清理的帮助。

许可以下： CC-BY-SA 和归因