我有一個值得信賴的合作伙伴,我想讓他調用我的Iframe並添加一個JS/css文件路徑作爲參數,我會這樣調用它:調用外部JS和CSS到我的網站 - 有什麼風險
<script type="text/javascript" src="@(HttpUtility.UrlDecode(HttpContext.Current.Request.Params["CustomJs"]))" ></script>
<link type="text/css" media="screen" href="@(HttpUtility.UrlDecode(HttpContext.Current.Request.Params["CustomCss"]))" rel="stylesheet" />
這是爲了讓他鉤住設計並註冊一些JS鉤子。 合作伙伴是值得信任的,並將在文檔上簽名,表明JS/css的使用僅適用於將從我們這邊調用的允許功能。
問題是,我是否將我的客戶暴露於任何形式的危險情況下(假設合作伙伴都可以)。
它全部根據ssl
什麼是安全風險。
感謝
您發佈的代碼是在框架中加載的文檔,對嗎? – Gumbo 2012-02-22 10:24:01
@Gumbo,是的,它是 – SexyMF 2012-02-22 10:30:14