0

私は人々がオンラインカレンダーを作成できる小さなサービスをホストしています。私は、ユーザーが自分のjavascript / html/cssを自分のカレンダーに保存して埋め込むことができるようにするというアイデアで遊んでいます。

セキュリティへの影響について少し心配しています。XSSなどを使用して、ユーザーのjavascriptコードが、コードが埋め込まれているカレンダー以外のカレンダーに影響を与える可能性があるのでしょうか。

顧客の観点からは、ページ上のJSがページのすべての側面を変更できるようにする必要があります。

最も安全な方法はカスタムHTML/CSSのみを許可することだと思いますが、JSを使用してカレンダーのレイアウトと機能を変更する機能は優れた機能です。

4

1 に答える 1

1

これは非常に危険な場合があります。同じ理由で

evalは悪です

基本的に、悪意のあるスクリプトを実行する機会をユーザーに与えています。

例:AJAXを使用してサーバー上の何かを更新しています。私はやって来て、信頼できるFirebugを開き、AJAXリクエストを見て、少し大混乱を起こすことにしました。それが私がしていることだからです。AJAX呼び出しを書き直し、カレンダーのIDをランダムなIDに変更すると、その日の汚い行為になります。

于 2012-10-24T11:51:38.393 に答える