我可以阻止用户将 Javascript 粘贴到设计模式 IFrame 中吗?
-
09-06-2019 - |
题
我正在构建一个在设计模式下包含 IFrame 的 Web 应用程序,以便我的用户可以“启动”其内容并粘贴要在其页面上显示的内容。就像大多数博客引擎或论坛上的所见即所得编辑器一样。
我正在尝试考虑需要堵住的所有潜在安全漏洞,其中之一是用户在 Javascript 中粘贴:
<script type="text/javascript">
// Do some nasty stuff
</script>
现在我知道我可以在保存它和/或将其返回之前在服务器端将其删除,但我担心有人能够粘贴一些脚本并在那里运行它,甚至无需发送返回到服务器进行处理。
难道我无忧无虑吗?
任何建议都会很棒,谷歌搜索找不到太多。
安东尼
解决方案
...我担心有人能够粘贴一些脚本并在那里运行它,甚至不将其发送回服务器进行处理。
难道我无忧无虑吗?
Firefox 有一个名为 Greasemonkey 的插件,允许用户对加载到浏览器中的任何页面任意运行 JavaScript,而您对此无能为力。Firebug 允许您修改网页以及运行任意 JavaScript。
AFAIK,您实际上只需要担心它到达您的服务器,然后可能会影响其他用户。
其他提示
正如 Jason 所说,我会更专注于服务器端的数据清理。除非您使用 Silverlight / Flex,否则您实际上在客户端没有任何真正的控制权,即使这样您也需要检查服务器。
也就是说,这里有一些提示 《分开的清单》 您可能会发现有关服务器端数据清理的帮助。
不隶属于 StackOverflow