在我的应用程序中,我让注册用户创建他们自己的个人网站,并且我想让他们将分析代码添加到网站标题中。我了解让他们添加自己的内容存在风险,因此我仅限于让他们添加 Google Analytic 代码。
如果我让他们将自己的 JavaScript 输入到网站的标题中,可能会发生更糟糕的情况。
我怎样才能限制只添加谷歌分析代码?
问问题
268 次
2 回答
5
Don't let them add the whole JavaScript. You add the JavaScript and let them set their Google Analytics ID which you can validate as being in a proper format. That way they can't add any code to your site and you can easily weed out bad values.
于 2012-05-02T16:15:26.830 回答
3
哦,让我们看看……他们可以将用户重定向到网络钓鱼或恶意软件站点;尝试设置路过式下载;完全重写整个页面内容并从用户那里窃取会话、登录凭据和其他信息或以其他方式破坏网站;当他们在您的网站上时,将键盘记录器安装到用户的浏览器中......
编写检查以确保提供的 ID 字符串符合所有分析 ID 必须遵循的模式。仅允许可能出现在分析 ID 中的字符。自己生成其余的周围 js 代码。在评论中,@yahelc 提供了
^UA-\d+-\d+$验证 UA ID 的正则表达式。
于 2012-05-02T16:17:09.267 回答