¿Puedo evitar que el usuario pegue Javascript en el IFrame del modo de diseño?

Question

Estoy creando una aplicación web que contiene un IFrame en modo de diseño para que mis usuarios puedan "iniciar" su contenido y pegarlo para que se muestre en su página.Como el editor WYSIWYG en la mayoría de los motores de blogs o foros.

Estoy tratando de pensar en todos los posibles agujeros de seguridad que necesito tapar, uno de los cuales es que un usuario pegue en Javascript:

<script type="text/javascript">

// Do some nasty stuff

</script>

Ahora sé que puedo eliminar esto en el extremo del servidor, antes de guardarlo y/o devolverlo, pero me preocupa la posibilidad de que alguien pueda pegar algún script y ejecutarlo allí mismo, sin siquiera enviarlo. de vuelta al servidor para su procesamiento.

¿Me estoy preocupando por nada?

Cualquier consejo sería genial, no pude encontrar mucho buscando en Google.

Antonio

Answer 1

...Me preocupa la posibilidad de que alguien pueda pegar algún script y ejecutarlo allí mismo, sin siquiera enviarlo al servidor para su procesamiento.

¿Me estoy preocupando por nada?

Firefox tiene un complemento llamado Greasemonkey que permite a los usuarios ejecutar JavaScript arbitrariamente en cualquier página que se cargue en su navegador, y no hay nada que puedas hacer al respecto.Firebug le permite modificar páginas web y ejecutar JavaScript arbitrario.

AFAIK, realmente solo debes preocuparte una vez que llegue a tu servidor y luego potencialmente afecte a otros usuarios.

Answer 2

Como dijo Jason, me centraría más en limpiar los datos del lado del servidor.Realmente no tienes ningún control real en el lado del cliente a menos que estés usando Silverlight/Flex e incluso entonces necesitarías verificar el servidor.

Dicho esto, aquí tienes algunos consejos de "Una lista aparte" Puede resultarle útil con respecto a la limpieza de datos del lado del servidor.

http://www.alistapart.com/articles/secureyourcode