如何安全地允许用户将javascript添加到您的域上的页面
How to securely allow users to add javascript to a page on your domain
我很想知道如何让用户在不打开安全漏洞的情况下将javascript添加到应用程序的页面中。
很长一段时间我认为这是不可能的,但是我尝试了托管电子商务产品Tictail,他们的定制工具允许您添加任何您想要的标记和javascript。我很好奇他们是如何做到这一点而不容易受到攻击的。
下面是我添加到页面中的一些测试脚本,以及结果。
<script>
alert(document.cookie)
</script>
工作,并触发警报-页面会运行任何东西吗?
<script>
document.body.style.display = 'none';
</script>
不起作用—脚本标签按原样加载在页面中,但是控制台显示错误:Uncaught TypeError: Cannot read property 'style' of null
谢谢你的建议。
让用户添加HTML或脚本,如果它们只提供给创建它们的同一个人,这是不安全的吗?
我
你的网页的任何用户(s)可以随时添加任何脚本/html页面在他们的一边。XSS脚本就是让用户插入HTML/脚本,然后将其提供给其他用户。只要看看像Grease monkey或firebug这样的工具就知道了。
相关文章:
- 如何在ASP中为用户控件添加Javascript对象网
- 向Android浏览器添加JavaScript
- 如何在Opencart中动态添加JavaScript
- 如何根据需要优雅地添加javascript/css
- 在Android的Webview中添加Javascript
- Phonegap/Cordova:如何添加Javascript多点触摸事件
- 添加@javascript标记时,Cucumber中的HTTP身份验证失败
- 当我的表单中已经有一个操作时添加JavaScript
- 当我添加JavaScript时,链接按钮停止工作
- Ruby on Rails 4:在 Rails Web 应用程序中添加 Javascript 文件时遇到问题
- 可以'无法正确添加JavaScript值
- 在页面上添加javascript后呈现指令
- 如何在我更改输入时添加javascript操作'的内容
- 在Dotnet Highchart中添加javascript函数
- 如何在R Shiny应用程序中添加JavaScript来更改CSS文件
- 基于使用的ASP MVC EditorFor/Partial模板添加JavaScript引用
- 添加javascript变量以发送数据
- 动态添加javascript事件监听器,做一些无法解释的事情
- 使用wp_enque_script()在Wordpress-functions.php中添加Javascript
- 添加JavaScript onClick以动态生成asp按钮