0

我开发了一个网站,允许用户将小部件嵌入到他们的个人资料中。

这些小部件允许 html 并支持从 youtube 嵌入代码 (iframe) 到 Google Analytics 代码 (JavaScript) 的任何内容。

我最近了解到黑客使用 iframe 和 JavaScript 来利用站点登录和 ftp 访问。

是否有某种 php 解决方案可以集成到我的网站中以避免这些类型的黑客攻击,同时仍然允许用户将 HTML 小部件嵌入到他们的个人资料中?

4

1 回答 1

1

不。

您无法机械地区分所有“好”JavaScript(例如,Google Analytics)和“坏”JavaScript。(如果没有将您批准的脚本列入白名单,这将不可避免地不允许用户想要的一切,或者将不合适的脚本列入黑名单,这将不可避免地成为一场打地鼠游戏。)

您将需要停止允许用户将任意 HTML 注入您的站点。

于 2012-06-12T05:32:26.920 回答