使用PHP來控制用戶輸入的Javascript/HTML/textarea並防止iframe破解

Question

我開發了一個網站，允許用戶將小部件嵌入到他們的個人資料中。

這些小部件允許使用html，並支持任何從youtube嵌入代碼（iframe）到Google Analytics代碼（JavaScript）的任何內容。

我最近了解到使用iframe和JavaScript來利用站點登錄和ftp訪問的黑客。

是否有某種php解決方案可以集成到我的網站中以避免這些類型的黑客，同時仍允許用戶將HTML小部件嵌入到他們的個人資料中？

Answer 1

號

沒有辦法，你可以機械地所有的「好」的JavaScript（例如，谷歌分析）和「壞」的JavaScript區分。 （如果沒有您批准的白名單腳本，這將不可避免地允許用戶需要的所有內容，或將不合適的腳本列入黑名單，這將不可避免地成爲一場噩夢般的遊戲。）

您需要停止允許用戶在您的網站中注入任意的HTML。