防止托管CMS上的XSS/JS攻击
防止托管CMS上的XSS/JS攻击
提问于 2012-10-18 19:17:00
我正在为一个托管的内容管理系统工作,并考虑允许网站编辑器添加自定义javascript和html (一个要求很多的功能)。
我担心这会打开一个攻击载体-讨厌的js可能会调用我们托管的内容管理系统公开的函数(参见Samy worm了解用户脚本对myspace做了什么的示例),但我真的想让用户控制他们的网站(不能添加自己聪明的东西到内容管理系统有什么意义?)
解决此问题的好方法是什么?我能想到几个我想要评论的,但不打算列出他们,因为害怕‘无列表问题mods'!
回答 1
Stack Overflow用户
发布于 2012-10-19 04:34:27
我怀疑Caja在您的列表中,所以我要提到的是Caja的用例;例如,Google Sites非常像一个内容管理系统,它使用Caja嵌入任意的JS和Caja。
Caja主页可以提供任意的附加接口供沙箱内容使用,例如,可以在保持封装的同时将CMS提供的小部件嵌入到用户提供的HTML中。
(披露:我在谷歌的Caja团队工作。)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12953367
复制相关文章
相似问题
腾讯云开发者
