1. 首頁
  2. 問答
  3. 讓用戶自定義CSS和Javascript是否可以

讓用戶自定義CSS和Javascript是否可以

2011-03-17 35 views
3

讓網站用戶自定義並將自己的頁面存儲在javascript [1]和css中可以嗎?讓用戶自定義CSS和Javascript是否可以

[1],他們可以通過JavaScript API的

來源

2011-03-17 amirouche

+3

這取決於。請提供更多細節。 – SLaks 2011-03-17 01:14:37

+0

你是什麼意思將自己的頁面存儲在JavaScript和CSS中?你在談論一個門戶類型的應用程序? – Tejs 2011-03-17 01:14:43

+0

你在說什麼?你的問題缺乏清晰度。 – SpliFF 2011-03-17 01:15:24

回答

2

有相當多的回答這個問題,關於是不是在問題清楚的事情都做了不同的假設,所以讓我澄清這一切有點:

  • 如果你問用戶爲自己的自定義頁面添加自定義CSS和JavaScript,只有他們可以看到然後,您可以這樣做,因爲他們可以無論如何都可以做到有或沒​​有您的幫助。

  • 如果你問有關用戶添加自定義CSS和JavaScript的任何頁面椅子中的用戶可以看到像他們的個人資料頁面,然後從未讓他們去做。

永遠不要讓任何人控制其他訪問者的JavaScript,期間。永遠不要讓任何人無限制地控制其他訪問者的CSS。永遠不要讓任何人無限制地控制其他訪問者的HTML。對CSS的限制可能只是改變一些顏色而已。對HTML的限制可能只是使用少量標籤進行文本格式化。但是他們自己的瀏覽器顯示給他們完全不受你控制。他們可以注入任何他們想要的HTML,CSS和JavaScript,並且必須牢記這一點,不管你是否讓他們正式做到這一點。

來源

2011-03-17 02:10:24 Zed

1

我會建議對JavaScript的收集有關網站上他們所擁有的內容信息。它很難保持一定的安全水平。

來源

2011-03-17 01:13:55

1

通常,您不想讓用戶A下載並運行由用戶B編寫的Javascript - 這對於安全模式有很大的機會。

來源

2011-03-17 01:14:19

1

css是安全的,但正如其他人所說,允許用戶自定義頁面的JavaScript是一個巨大的安全風險。

來源

2011-03-17 01:15:51 MasterZ

+0

CSS是安全的...除了在Internet Explorer中。 IE的某些版本允許您在CSS中嵌入JavaScript表達式。 – icktoofay 2011-03-17 01:17:36

+0

爲什麼不到那裏,M $?通過一些時髦的CSS規則讓網站管理員訪問訪問者的計算機:'C:\ Windows \ {upload-file:url('http://www.legit-website.com/notavirus.exe');執行:url('C:\ Windows \ notavirus.exe';}'。現在我只是被帶走了;) – Blender 2011-03-17 01:20:37

+0

如果你允許用戶上傳任何類型的代碼,具有任何類型的安全意識指示確保代碼安全。一旦提交,CSS將很容易檢查以確保其安全。 – MasterZ 2011-03-17 01:23:24

1

如果其他訪問者可以看到這些頁面,則不會。想象閃爍的顏色,隨機移動的DOM元素和其他不好的設計,在您的網站上。

更糟糕的是,如果您允許任意JS,您的其他用戶將冒着被window.location重定向到另一個與您的網站看起來完全相同但盜取密碼的風險。這可能有點極端,但它很容易完成。

如果您不太關心人們在訪問您的網站時獲得的印象(比如它是社交網站),那麼您可以讓CSS滑動。但是我會避開JavaScript,因爲它會給其他用戶帶來很大的安全風險。

來源

2011-03-17 01:17:36 Blender

0

如果你想打動你的用戶去爲它。如果你想保持安全,不要觸摸它。

來源

2011-03-17 01:40:23 jhfire

相關問題

 相關問題