沙盒,用于保护允许用户上传样式的网站
Sandbox to protect websites that allow users to upload styles
很多网站,如Tumblr,Posterous允许用户上传自己的风格。个人样式可能包含HTML,Javascript和服务器代码。所以我的问题是
-
如何防止用户上传恶意服务器代码。
-
如何防止用户上传恶意客户端代码 (Javascript)。
我相当了解如何通过限制要使用的函数集来解决(1)。我更关心(2),因为很难过滤不良代码。这些样式可能包含恶意代码,这些代码将用户会话发送到某些外部源,然后伪造其身份。我注意到上传的样式不在外部框架中,因此窃取用户会话似乎是一个明显的问题。
有没有人对上述问题有更好的了解?
- 不允许用户上传服务器代码。
- 不允许用户上传客户端代码。
过滤所有邪恶代码。谷歌正试图在Play商店中做到这一点,并定期证明这一点。
相关文章:
- Javascript+动态菜单+当前链接样式(CSS)+基于PHP的网站
- 禁用移动样式表以加载整个网站
- JavaScript和CSS样式不适用于我的“;谷歌网站”;页
- 从引导程序2开始=>引导程序3..不破坏网站样式
- 如何为正在查看的网站动态更改css样式表
- 压缩脚本和样式,并将所有js和样式引用合并为单个引用,以优化网站性能
- 更改网站的样式代码以允许用户更改大小和样式不起作用
- 如何在运行时应用外部网站的样式
- 具有巨大内联样式的网站
- 如果在移动设备上查看网站,请更改样式
- 将自定义标记添加到自定义样式的 Google Maps API v3 for Wordpress 网站
- 网站加载CSS / Jquery样式缓慢
- 沙盒,用于保护允许用户上传样式的网站
- 在WordPress中,获取样式表中的网站URL
- 添加特定的CSS样式's仅当网站在iframe或lightbox中查看时
- 太多的小数+样式不可见的网站
- 如果用户使用带有锚/哈希的链接访问网站,我如何将样式应用于元素
- 动态样式表语言不工作后发布网站在线
- 使用Grunt &在大型Magento网站上删除未使用的css样式
- 用于开发Azure Web界面样式网站的库