回答
有相當多的回答這個問題,關於是不是在問題清楚的事情都做了不同的假設,所以讓我澄清這一切有點:
如果你問用戶爲自己的自定義頁面添加自定義CSS和JavaScript,只有他們可以看到然後,您可以這樣做,因爲他們可以無論如何都可以做到有或沒有您的幫助。
如果你問有關用戶添加自定義CSS和JavaScript的任何頁面椅子中的用戶可以看到像他們的個人資料頁面,然後從未讓他們去做。
永遠不要讓任何人控制其他訪問者的JavaScript,期間。永遠不要讓任何人無限制地控制其他訪問者的CSS。永遠不要讓任何人無限制地控制其他訪問者的HTML。對CSS的限制可能只是改變一些顏色而已。對HTML的限制可能只是使用少量標籤進行文本格式化。但是他們自己的瀏覽器顯示給他們完全不受你控制。他們可以注入任何他們想要的HTML,CSS和JavaScript,並且必須牢記這一點,不管你是否讓他們正式做到這一點。
我會建議對JavaScript的收集有關網站上他們所擁有的內容信息。它很難保持一定的安全水平。
通常,您不想讓用戶A下載並運行由用戶B編寫的Javascript - 這對於安全模式有很大的機會。
css是安全的,但正如其他人所說,允許用戶自定義頁面的JavaScript是一個巨大的安全風險。
CSS是安全的...除了在Internet Explorer中。 IE的某些版本允許您在CSS中嵌入JavaScript表達式。 – icktoofay 2011-03-17 01:17:36
爲什麼不到那裏,M $?通過一些時髦的CSS規則讓網站管理員訪問訪問者的計算機:'C:\ Windows \ {upload-file:url('http://www.legit-website.com/notavirus.exe');執行:url('C:\ Windows \ notavirus.exe';}'。現在我只是被帶走了;) – Blender 2011-03-17 01:20:37
如果你允許用戶上傳任何類型的代碼,具有任何類型的安全意識指示確保代碼安全。一旦提交,CSS將很容易檢查以確保其安全。 – MasterZ 2011-03-17 01:23:24
如果其他訪問者可以看到這些頁面,則不會。想象閃爍的顏色,隨機移動的DOM元素和其他不好的設計,在您的網站上。
更糟糕的是,如果您允許任意JS,您的其他用戶將冒着被window.location
重定向到另一個與您的網站看起來完全相同但盜取密碼的風險。這可能有點極端,但它很容易完成。
如果您不太關心人們在訪問您的網站時獲得的印象(比如它是社交網站),那麼您可以讓CSS滑動。但是我會避開JavaScript,因爲它會給其他用戶帶來很大的安全風險。
如果你想打動你的用戶去爲它。如果你想保持安全,不要觸摸它。
- 1. Telerik Javascript - 是否可以自定義?
- 2. 是否有可能利用JavaScript的自定義CSS屬性?
- 3. 是否可以顯示用戶的自定義操作狀態?
- 4. Ext.Net 2.1是否可以創建自定義用戶控件?
- 5. 是否可以在C#中調用用戶定義的(自定義)R函數?
- 6. 是否可以自定義commitEditingStyle?
- 7. 是否可以自定義BackOffice
- 8. 是否可以自定義UIPickerView的SelectionIndicator?
- 9. 是否可以自定義Bootstrap?
- 10. 是否可以自定義Android PopupMenu?
- 11. 是否可以自定義UITabBarItem徽章?
- 12. 是否可以自定義繪製ListViewGroup
- 13. 是否可以自定義buildSrc項目?
- 14. 是否可以自定義CNContactPickerViewController?
- 15. 是否可以自定義RichTextBox.DetectUrls行爲
- 16. 是否可以自定義MKUserTrackingBarButtonItem?
- 17. 是否可以自定義UIImagePickerController?
- 18. 是否可以使用T4MVC和global.asax中定義的自定義路由?
- 19. 是否可以爲CSS轉換指定自定義定時函數?
- 20. 是否可以使用css
- 21. 是否可以使用類方法來定義CSS樣式?
- 22. 是否可以在InfluxDB中定義自定義聚合?
- 23. 是否可以在TFS 2017中定義自定義的ExternalLinkFilter?
- 24. 用戶定義的JavaScript對象的方法(原型)是否可以使用document.createElement?
- 25. 是否可以自定義forms.Booleanfield對應「true」和「false」值?
- 26. 是否可以爲NSString設置自定義字體和大小?
- 27. 是否可以在內容屬性的值中使用CSS自定義屬性?
- 28. Ajax發送,我可以知道用戶是否來自JavaScript?
- 29. 自定義屬性,以確定方法是否可以處理
- 30. 用戶自定義樣式是否可以與document.ready + localStorage一起使用?
這取決於。請提供更多細節。 – SLaks 2011-03-17 01:14:37
你是什麼意思將自己的頁面存儲在JavaScript和CSS中?你在談論一個門戶類型的應用程序? – Tejs 2011-03-17 01:14:43
你在說什麼?你的問題缺乏清晰度。 – SpliFF 2011-03-17 01:15:24