私のアプリケーションでは、登録ユーザーに独自の個人Webサイトを作成させ、サイトヘッダーに分析コードを追加させたいと考えています。彼らに独自のコンテンツを追加させるリスクがあることを理解しているので、私は彼らにGoogleAnalyticコードを追加させることだけに制限しました。
ウェブサイトのヘッダーに独自のJavaScriptを入力させた場合に発生する可能性のある最悪の事態は何ですか。
追加するGoogleAnalyticコードのみを制限するにはどうすればよいですか?
2 に答える
5
JavaScript全体を追加させないでください。JavaScriptを追加し、適切な形式であると検証できるGoogleAnalyticsIDを設定させます。そうすれば、彼らはあなたのサイトにコードを追加することができず、あなたは簡単に悪い値を取り除くことができます。
于 2012-05-02T16:15:26.830 に答える
3
見てみましょう...ユーザーをフィッシングサイトやマルウェアサイトにリダイレクトする可能性があります。ドライブバイダウンロードの設定を試みます。ページのコンテンツ全体を完全に書き直し、セッション、ログインクレデンシャル、その他の情報をユーザーから盗むか、サイトを改ざんします。ユーザーがサイトにいる間に、ユーザーのブラウザにキーロガーをインストールします...
提供されたID文字列がすべてのanaylticsIDが従う必要のあるパターンに適合していることを確認するチェックを記述します。分析IDに表示される可能性のある文字のみを許可します。周囲の残りのjsコードを自分で生成します。コメントで、@yahelcはUAID
^UA-\d+-\d+$を検証するための正規表現を提供します。
于 2012-05-02T16:17:09.267 に答える