0

ユーザーが自分のプロファイルにウィジェットを埋め込むことができるサイトを開発しました。

これらのウィジェットはHTMLを許可し、YouTube埋め込みコード(iframe)からGoogle Analyticsコード(JavaScript)まであらゆるものをサポートします。

最近、iframeとJavaScriptを使用してサイトログインとftpアクセスを悪用するハッカーについて学びました。

ユーザーが自分のプロファイルにHTMLウィジェットを埋め込むことを許可しながら、これらのタイプのハッキングを回避するために自分のサイトに統合できるある種のphpソリューションはありますか?

4

1 に答える 1

1

いいえ。

すべての「良い」JavaScript(たとえば、Google Analytics)と「悪い」JavaScriptを機械的に区別する方法はありません。(承認したスクリプトをホワイトリストに登録しないと、必然的にユーザーが望むものすべてが許可されなくなります。または、不適切なスクリプトをブラックリストに登録すると、必然的にモグラたたきのゲームになります。)

ユーザーがサイトに任意のHTMLを挿入できるようにするのをやめる必要があります。

于 2012-06-12T05:32:26.920 に答える