Kann ich verhindern, dass Benutzer Javascript in den Design-Modus-IFrame einfügen?
https://stackoverflow.com/questions/50470
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich erstelle eine Webanwendung, die im Designmodus einen IFrame enthält, damit meine Benutzer ihre Inhalte „starten“ und Inhalte einfügen können, die auf ihrer Seite angezeigt werden sollen.Wie der WYSIWYG-Editor in den meisten Blog-Engines oder Foren.
Ich versuche, an alle potenziellen Sicherheitslücken zu denken, die ich schließen muss. Eine davon ist das Einfügen von Javascript durch einen Benutzer:
<script type="text/javascript">
// Do some nasty stuff
</script>
Jetzt weiß ich, dass ich dies auf der Serverseite entfernen kann, bevor ich es speichere und/oder zurückbringe, aber ich mache mir Sorgen, dass jemand möglicherweise ein Skript einfügen und es dort und dann ausführen kann, ohne es überhaupt zu senden Es wird zur Verarbeitung an den Server zurückgesendet.
Mache ich mir umsonst Sorgen?
Jeder Rat wäre großartig, ich konnte bei der Google-Suche nicht viel finden.
Antonius
Lösung
...Ich mache mir Sorgen über die Möglichkeit, dass jemand ein Skript einfügen und an Ort und Stelle ausführen kann, ohne es zur Verarbeitung an den Server zurückzusenden.
Mache ich mir umsonst Sorgen?
Firefox verfügt über ein Plug-in namens Greasemonkey, das es Benutzern ermöglicht, willkürlich JavaScript für jede Seite auszuführen, die in ihren Browser geladen wird, und Sie können nichts dagegen tun.Mit Firebug können Sie Webseiten ändern und beliebiges JavaScript ausführen.
AFAIK, Sie müssen sich wirklich nur dann Sorgen machen, wenn es Ihren Server erreicht und dann möglicherweise andere Benutzer trifft.
Andere Tipps
Wie Jason sagte, würde ich mich mehr auf die Bereinigung der Daten auf der Serverseite konzentrieren.Sie haben auf der Clientseite keine wirkliche Kontrolle, es sei denn, Sie verwenden Silverlight/Flex, und selbst dann müssten Sie den Server überprüfen.
Das heißt, hier sind einige Tipps von „Eine Liste für sich“ Sie könnten bei der serverseitigen Datenbereinigung hilfreich sein.
