リモートサーバーからAJAXがロードされたコードが来るブロックのあるサイトを取得しました。リモートサーバーからのコードの実行を禁止するにはどうすればよいですか?「noscript」タグは本当に十分ですか?
</noscript><script>...</script>来ている場合には注意を払うべきではないと思います。
前もって感謝します!
質問する
126 次
2 に答える
1
リモートサーバーから来る可能性のあるコードの実行を禁止するにはどうすればよいですか?
独自のサーバーに対して Ajax リクエストを行います。あなたのリモートサーバーからデータをリクエストします。HTML パーサーとホワイトリスト (XSS フィルター) を介して実行します。その後、クライアントに返却します。
「noscript」タグで本当に十分ですか?
noscriptブラウザーがJS をサポートしていない場合、ブラウザーが無視すると予想されるコンテンツを提供します。いかなる種類のサンドボックスも提供しません。
于 2013-02-16T10:38:46.617 に答える
0
ajax ロードを介してロードする特定の要素を (セレクターを使用して) ターゲットにすることができます。たとえば、(これが混乱しないことを願っていますが、ここに行きます):
http://jsbin.com/efazun/2 - (ページ 1) ページがロードされたときに「hello world」を表示するアラートがあります。
http://jsbin.com/ezewep/4/edit (ページ 2) - jquery load を使用してPage 1をロードし、hello world を表示します (ロード時にスクリプトを実行する - 良くない)
http://jsbin.com/ezewep/2/edit (Page 3) - jquery load を使用してPage 1を読み込みますが、対象はテキストのみで、スクリプトは実行されません (Hello World メッセージはありません)。
于 2013-02-16T12:28:10.703 に答える