我讓客戶端將JavaScript添加到網頁之前應採取哪些預防措施？

Question

問題：當我讓客戶將自定義JS腳本添加到他們的頁面時應該採取什麼預防措施？

如果你想要更多的細節：

我在定製CMS那樣工作項目的公司，CMS具有「組」，每個用戶「擁有」他們做自己的事情的數量。

新的要求是，一些羣體想要添加谷歌分析，看看他們在做什麼。所以我很自然地加在表中的列並提出代碼adjustements所以如果在該列的一些數據，我只是用下面一行在母版頁設置腳本了：

ScriptManager.RegisterClientScriptBlock(Page, typeof(Page), "CustomJs", CustomJs, true); 

它工作得很好，只是，它讓我想到了......

對於如何從js訪問cookies等有很好的知識的人是很容易的。當然，每個組都是主持人，只有超級管理員可以添加這個JavaScript，當然，他們不會愚蠢到可以破解他們自己的組織。 每個組都有自己的代碼，因此它不可能破解其他羣體但仍

我不是讓用戶自己添加的JavaScript代碼真的很舒服。 我可以自己監控每個小組，但這些小組的成長非常迅速，而且我會打到一段時間，我不再能夠做到這一點。

因此，要簡要介紹一下：爲防止發生意外，我應該採取哪些預防措施？

ps：確實嘗試谷歌，沒有令人信服的答案在任何地方。

Answer 1

與其允許用戶添加自己的Javascript文件，並且考慮到這裏唯一的要求是針對Google分析，爲什麼不讓他們將分析ID放入CMS中，如果存在，請輸出相關的Google Analytics碼？

這樣您就可以滿足用戶需求並避免防範惡意腳本。

Answer 2

讓用戶使用Javascript是一般來說，一個非常糟糕的主意。除非必須，否則不要這樣做。

我曾經有一個問題，我需要讓客戶端使用Javascript，但客戶端不一定是可信的，所以我修改了cofeescript，以便只有一小部分可編譯爲javascript，並且它工作得很好。這可能對你來說太過於矯枉過正。

你不應該讓你的用戶訪問cookies，這總是很痛苦。另外，如果您是HTML5人員之一，並且沒有localStorage或webSQL，並且沒有document.write（），因爲這是JSLint告訴您的另一種形式eval。

而讓人們擁有javascript的問題是，即使您認爲自己擁有可信用戶，某人可能會得到一個密碼，並且您不希望該人訪問該組中的所有其他帳戶。

Answer 3

自動識別某些JavaScript代碼是惡意還是沙箱化，這幾乎是不可能的。如果您不想讓黑客入侵您的網站，您只剩下幾個選項：

1. 不允許用戶添加JavaScript。
2. 只允許預定義的JavaScript代碼，例如Google Analytics（分析）。
3. 在允許在網站上顯示之前，讓人類檢查所有自定義JavaScript。不要相信從第三方網站加載的腳本 - 這些腳本可能會從一天變爲另一天，並變爲惡意。

Answer 4

如果您沒有其他選擇，您可以考慮分離用戶javascripts（和cookie）的路徑/域。

例如你的用戶有頁面： user1.server.com 和你保持用戶的網頁在 user1.server.com

所以，如果你設置會話cookie來user1.server.com，它會使其無法從其他域的用戶腳本獲取（例如user2.server.com）。

另一個選項可能是在服務器JS引擎上執行所有用戶的JavaScript（從而控制它的所有I/O並限制對瀏覽器資源的訪問）。

無論如何，沒有簡單易行的解決方案，所以最好考慮使用其他答案的選項（例如預先編寫的腳本API，人工檢查）。