2
許多像Tumblr這樣的網站,Posterous允許用戶上傳他們自己的風格。個人風格可能包含HTML,Javascript和服務器代碼。所以我的問題是沙箱保護允許用戶上傳風格的網站
如何防止用戶上傳惡意服務器代碼。
如何防止用戶上傳惡意客戶端代碼(Javascript)。
我很明白如何解決(1)通過限制要使用的功能集。我更關心(2),因爲過濾不好的代碼非常困難。這些樣式可能包含將用戶會話發送給某些外部來源然後僞造其身份的惡意代碼。我注意到上傳的樣式不在外部框架中,所以竊取用戶會話似乎是一個明顯的問題。
有沒有人對上述問題有更好的認識?