我很確定這是一個常見的要求,我只是有點新的js,我不知道要搜索什麼。如果這是重複的,請指向正確的方向。有沒有辦法在網站的某個區域/部分禁用JavaScript?
因此,我們在我們的網站上有可定製的區域,您可以在其中添加標籤和CSS來修改該區域的外觀。我們很警惕人們可能會在那裏放入惡意的js代碼。
所以我們想到了一種在這些區域禁用java腳本的方法。
是否有最佳做法?或者任何正確的方法來做到這一點?
我很確定這是一個常見的要求,我只是有點新的js,我不知道要搜索什麼。如果這是重複的,請指向正確的方向。有沒有辦法在網站的某個區域/部分禁用JavaScript?
因此,我們在我們的網站上有可定製的區域,您可以在其中添加標籤和CSS來修改該區域的外觀。我們很警惕人們可能會在那裏放入惡意的js代碼。
所以我們想到了一種在這些區域禁用java腳本的方法。
是否有最佳做法?或者任何正確的方法來做到這一點?
是的,這是一個常見的要求。您需要清理您從用戶處收到的HTML和CSS,以確保它不包含任何JavaScript或任何可能暗中加載JavaScript的內容。這不是微不足道的,所以有工具可以使用:HTML清理器(和CSS清理器)。這些都是正確的,全面的HTML和CSS解析器,您可以給白名單以允許某些標記和屬性,並禁止其他標記和屬性(以及限制屬性的值)。
殺毒軟件需要運行服務器端,並確保用戶提供的內容在顯示給任何其他用戶之前已經過清理。 所以你需要找到適合您的服務器端環境,如HTML敏捷性包對於.NET,OWASP防薩米爲Java等
的合適的工具自然本能是在收貨時對其進行消毒,但只是收貨時進行消毒不夠好,因爲如果您在規則中發現缺陷,則必須重新清理您存儲的所有物品,或在收據上進行消毒和交付。
提供一些代碼你在做什麼 –
可能想在[服務器故障](http://serverfault.com/) – Tibrogargan
上提問這個問題[Sandbox JavaScript運行在瀏覽器?](http://stackoverflow.com/questions/195149/is-it-possible-to-sandbox-javascript-running-in-the-browser) –