0

我正在托管一项小型服务,人们可以在其中创建在线日历。我正在考虑允许用户将自己的 javascript/html/css 保存并嵌入到他们的日历中。

我有点担心安全隐患——有没有办法使用 XSS 等,以便用户的 javascript 代码可以影响除了嵌入代码的日历之外的其他一些日历?

从客户的角度来看,应该允许页面上的 JS 更改页面的所有方面。

我想最安全的方法是只允许自定义 HTML/CSS,但是使用 JS 修改日历的布局和功能将是一个不错的功能。

4

1 回答 1

1

这可能非常危险,原因与

评估是邪恶的

您基本上是在为用户提供运行恶意脚本的机会。

示例:您正在使用 AJAX 更新服务器上的某些内容。我来了,打开我信任的 Firebug,查看 AJAX 请求,并决定破坏一点,因为这就是我所做的。我只是重写了 AJAX 调用,将我的日历的 id 更改为某个随机的,然后 bam,这就是我今天的肮脏行为。

于 2012-10-24T11:51:38.393 回答