我已經在我的網站中實現了一項要求,我可以允許我的最終用戶配置一個鏈接,執行他可能需要的任何JavaScript。因爲他可以輸入任何他需要的JavaScript,他還可以打開不同的網頁,通過javascript創建新頁面,通過JavaScript編輯頁面中的元素等等。網頁上的安全性將允許用戶動態地添加javascript
我對這個功能有一些安全問題,並希望從每個人那裏得到一些意見。是否有可能將任何惡意或不道德的腳本添加到頁面中,從而導致治安問題或信譽問題?如果是這樣,是否可以放置一些代碼來限制我的用戶可能添加的JavaScript類型?
有一件事叫做ADsafe,它是爲橫幅廣告而開發的,它是Javascript的一個嚴格子集,旨在防止惡意代碼。我不認爲你可以做這樣的事情
打開不同的網頁,創建通過javascript新頁面,編輯頁面中的元素通過JavaScript等
雖然。我認爲你應該重新考慮你的需求,並試圖確定你是否可以想出一種方法,讓用戶可以從預先確定的代碼中進行選擇,這些代碼可能會在你編寫的代碼中進行選擇,也許可以在特定範圍內對其進行定製。
然後,如果您完全確定JavaScript只會爲輸入該用戶的用戶運行,那麼不應該有任何他們可以做的事情,這會讓其他人感到困惑。如果用戶被確定,他或她可以通過其他方式簡單地插入他們的JavaScript,如重寫代理或擴展或簡單的JavaScript控制檯。
+1爲「重新考慮您的需求」。處理任意的JS可能非常複雜。 –
誰會看到鏈接?只是添加JS的用戶?該網站的其他成員?廣大市民? – Quentin
@昆汀丁:好點。我寫了我的答案,考慮到JS將公開可見(最糟糕的情況)。 –