我现在正在尝试设计一些书签,它们连接回服务器(比如木兰),但就其本质而言,书签似乎与已建立的互联网安全背道而驰,它们基本上是跨站点脚本根据定义,它们也是强大而酷的工具,并且符合我的需求,所以我想使用它们。
然而,由于它们可能是 Javascript 使用的丑小鸭,我想知道在它们的设计和安全性方面应该应用哪些特殊考虑和常识。
谢谢!
编辑:我的一项政策是,如果用户在 https 页面内,小书签根本不会启动。
Robert Gould
问问题
214 次
1 回答
3
用户必须担心的是其他人的书签。如果它来自不受信任的来源,您不知道它在激活时可能会做什么(窃取 cookie 或抓取敏感信息。)由于您的代码是跨站点注入的,因此对您没有真正的危险,只会对您的用户造成危险如果你故意把它们放在那里。
编辑:
我会避免可能会干扰主机页面的全局范围的代码,例如重新定义全局对象和原型。您可以将所有书签代码放在一个功能块中以限制其范围:
(function(){
// your code
})()
该块中定义的任何变量和函数都不会干扰主机页面,除非您深入研究全局对象和原型、DOM 等。如果您发布一个可能需要这样做的示例,我们可能会帮助重构。
于 2009-01-22T03:03:46.253 回答