0

私はホストされた CMS に取り組んでおり、サイトの編集者がカスタムの JavaScript と html を追加できるようにすることを考えています (要望の多かった機能)。

私はこれが攻撃経路を開くのではないかと心配しています - 悪質な js が、ホストされている CMS が公開している関数を呼び出す可能性があります (ユーザー スクリプトが myspace に対して行った例については、 Samy ワームを参照してください)。彼らのサイトで (独自の巧妙なものを追加できない CMS のポイントは何ですか?)

この問題を解決するための良いアプローチは何ですか? コメントが欲しいいくつかのことを思いつくことができますが、「no list question mods」を恐れてそれらをリストするつもりはありません!

4

1 に答える 1

1

私はCajaがあなたのリストにあるのではないかと思うので、これは Caja のユース ケースに含まれていることを述べておきます。たとえば、Google サイトは CMS に非常に似ており、Caja を使用して任意の JS と HTML を埋め込みます。

Caja ホスト ページは、サンドボックス化されたコンテンツで使用するための任意の追加インターフェイスを提供できます。これには、たとえば、カプセル化を維持しながら、CMS によって提供されるウィジェットをユーザー提供の HTML 内に埋め込むことが含まれます。

(情報開示: 私は Google の Caja チームで働いています。)

于 2012-10-18T20:34:26.553 に答える