2
我有一個會員網站,用戶可以在其中嵌入自己的代碼到他們的個人資料。我希望允許他們在其個人資料中包含嵌入代碼,例如YouTube和Javascript嵌入代碼。允許JavaScript的PHP形式,並避免像JsFiddle黑客
我注意到JsFiddle.net可以做到這一點。有人知道如何複製這種安全性嗎?
謝謝你的幫助!
A
回答
0
我假設你想從惡意代碼注入,SQL注入等
當提交表單時,您需要驗證輸入服務器端的安全性。只要你在那裏證實你的期望,你應該沒問題。您在JavaScript中進行的唯一驗證(如果有的話)應該是幫助用戶將他們的信息添加到表單中,並查看他們出錯的地方,換句話說就是幫助。
我以前使用YouTube API來驗證視頻條目。不知道Vimeo是否有API,如果它沒有,我會感到驚訝。
5
爲用戶提交的HTML,CSS和JavaScript設置完全獨立的域名(例如「exampleusercontent.com」)專用。不要讓這些內容通過您的主域名加載。然後使用iframe將用戶內容嵌入到您的頁面中。
如果您需要比簡單框架更緊密的集成,可能會有幫助,允許不同框架中的腳本以受控方式相互通信。
或者,Google Caja是沙盒第三方JavaScript的開源編譯器,但有時候會有人發現它存在漏洞。
你可能不想依靠Caja作爲你的唯一防禦層。畢竟,Facebook確實放棄了類似的系統(稱爲FBML/FBJS),轉而採用iframe沙盒方法。
相關問題
- 1. MockRetrofit不允許避免網絡錯誤
- 2. Rails:允許免費的文本SQL過濾器,並仍然避免SQL注入
- 3. 允許PHP內部形狀
- 4. 黑客方式「window.show」的Javascript
- 5. 形式不允許編輯
- 6. 避免over_query_limit許可
- 7. VideoView:避免全屏黑屏
- 8. 避免刷新的形式在HTML5
- 9. 的mod_rewrite:允許重定向,但避免直接訪問
- 10. 如何避免羣組功能在這裏是不允許的
- 11. 避免報告以允許修改Filemaker Pro中的記錄11
- 12. 的jsfiddle形式不工作
- 13. 避免在PHP
- 14. JavaScript黑客
- 15. 如何避免與「登錄」社交媒體被黑客攻擊
- 16. 避免排行榜黑客入侵遊戲中心
- 17. 允許以PHP方式發送Javascript代碼發佈於PHP
- 18. 避免javascript回調並承諾地獄
- 19. Javascript,Highcharts:避免並行函數調用
- 20. 如何刷新圖形以避免黑屏?
- 21. 的Javascript只允許特定的格式
- 22. 避免差距並放置圖像
- 23. 如何避免ref參數不允許類型變化?
- 24. 避免打開類型以允許不斷摺疊
- 25. 避免ng-include,同時允許靈活地呈現子模板
- 26. Docker:如何避免在Docker Container中不允許操作?
- 27. 允許的在JavaScript
- 28. CORS允許的JavaScript
- 29. 允許用戶在一個形式
- 30. 避免使用javascript
jsfiddle提供了什麼安全性?安全抵抗什麼? – PeeHaa