デザイン モードで IFrame を含む Web アプリケーションを構築しているため、ユーザーはコンテンツを「タルト」してページに表示するコンテンツを貼り付けることができます。ほとんどのブログ エンジンやフォーラムの WYSIWYG エディターと同様です。
私はプラグインする必要があるすべての潜在的なセキュリティ ホールを考えようとしています。
<script type="text/javascript">
// Do some nasty stuff
</script>
これで、サーバー側でこれを保存および/または提供する前に取り除くことができることがわかりましたが、誰かがスクリプトを貼り付けて、送信することなくそこで実行できる可能性が心配です。処理のためにサーバーに戻します。
私は何も心配していませんか?
Google で検索してもあまり見つかりませんでした。
アンソニー
...誰かがスクリプトを貼り付けてそこで実行できる可能性が心配です。処理のためにサーバーに送り返すことさえありません。
私は何も心配していませんか?
Firefox には Greasemonkey と呼ばれるプラグインがあり、ブラウザーに読み込まれる任意のページに対してユーザーが任意に JavaScript を実行できますが、それに対してできることは何もありません。Firebug を使用すると、Web ページを変更したり、任意の JavaScript を実行したりできます。
私の知る限り、実際に心配する必要があるのは、サーバーに到達した後だけで、他のユーザーに影響を与える可能性があります.
ジェイソンが言ったように、私はサーバー側のデータをきれいにすることにもっと集中したいと思います。Silverlight / Flexを使用していない限り、クライアント側で実際に制御することはできず、サーバーをチェックする必要があります.
とはいえ、サーバー側のデータクリーニングに関して役立つと思われる「A List Apart」のヒントをいくつか紹介します。