我正在构建一个包含设计模式下的 IFrame 的 web 应用程序,以便我的用户可以“启动”他们的内容并粘贴内容以显示在他们的页面上。就像大多数博客引擎或论坛上的所见即所得编辑器一样。
我试图考虑我需要插入的所有潜在安全漏洞,其中之一是用户粘贴 Javascript:
<script type="text/javascript">
// Do some nasty stuff
</script>
现在我知道我可以在服务器端删除它,然后再保存和/或返回它,但我担心有人能够粘贴一些脚本并在那里运行它,然后甚至不发送它返回服务器进行处理。
我在担心什么吗?
任何建议都会很棒,在谷歌搜索中找不到太多。
安东尼
...我担心有人能够粘贴一些脚本并在那里运行它,然后甚至不将其发送回服务器进行处理。
我在担心什么吗?
Firefox 有一个名为 Greasemonkey 的插件,它允许用户对加载到浏览器中的任何页面任意运行 JavaScript,而您对此无能为力。Firebug 允许您修改网页以及运行任意 JavaScript。
AFAIK,你真的只需要担心一旦它到达你的服务器,然后可能会影响其他用户。
正如 Jason 所说,我会更专注于清理服务器端的数据。除非您使用 Silverlight / Flex,否则您实际上对客户端没有任何真正的控制权,即使那样您也需要检查服务器。
也就是说,这里有一些来自“A List Apart”的提示,您可能会发现对服务器端数据清理很有帮助。