HTML や JavaScript などのユーザー生成コンテンツをホストするサイトを運営する場合、ホストとサイトへの訪問者のセキュリティと整合性を確保するのに役立つベスト プラクティスは何ですか?
ここに可能なテクニックの例をいくつか追加します。技術的なオプション:
- 別のドメイン: メイン サイトとは別のドメインを使用して、ユーザーが作成したコンテンツをホストします。jsFiddleと同様、 Githubもこれを行います。
- 制限付きタグ: ユーザーが入力できる HTML タグを制限します。大きなものは <script> で、これは明らかに JS ホスティングでは不可能です。ただし、おそらく JS を制限することもできます (ただし、それは実用的ではないかもしれません)。
手動/半手動パターン:
- コンテンツのモデレーション
- ユーザーのフラグ付け: 悪意のあるコンテンツにフラグを付けて削除する方法をユーザーに提供します