Puis-je empêcher l'utilisateur de coller du Javascript dans un IFrame en mode conception ?
https://stackoverflow.com/questions/50470
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je construis une application Web qui contient un IFrame en mode conception afin que mes utilisateurs puissent « démarrer » leur contenu et coller le contenu à afficher sur leur page.Comme l'éditeur WYSIWYG sur la plupart des moteurs de blog ou forums.
J'essaie de penser à toutes les failles de sécurité potentielles que je dois combler, dont l'une est un utilisateur qui colle du Javascript :
<script type="text/javascript">
// Do some nasty stuff
</script>
Maintenant, je sais que je peux supprimer cela du côté du serveur, avant de le sauvegarder et/ou de le renvoyer, mais je m'inquiète de la possibilité que quelqu'un puisse coller un script et l'exécuter sur-le-champ, sans même envoyer il est renvoyé au serveur pour traitement.
Est-ce que je m'inquiète pour rien ?
Tout conseil serait formidable, je n'ai pas trouvé beaucoup de recherche sur Google.
Antoine
La solution
... Je m'inquiète de la possibilité que quelqu'un puisse coller un script et l'exécuter sur-le-champ, sans même le renvoyer au serveur pour traitement.
Est-ce que je m'inquiète pour rien ?
Firefox dispose d'un plug-in appelé Greasemonkey qui permet aux utilisateurs d'exécuter arbitrairement du JavaScript sur n'importe quelle page chargée dans leur navigateur, et vous ne pouvez rien y faire.Firebug vous permet de modifier des pages Web ainsi que d'exécuter du JavaScript arbitraire.
AFAIK, vous n'avez vraiment besoin de vous inquiéter qu'une fois qu'il arrive sur votre serveur, puis qu'il touche potentiellement d'autres utilisateurs.
Autres conseils
Comme Jason l'a dit, je me concentrerais davantage sur le nettoyage des données côté serveur.Vous n'avez pas vraiment de contrôle réel côté client, sauf si vous utilisez Silverlight/Flex et même dans ce cas, vous devrez vérifier le serveur.
Cela dit, voici quelques conseils de "Une liste à part" vous pouvez trouver utile concernant le nettoyage des données côté serveur.
