私は、ユーザーがWebページにJavaScriptを入力し、それらのページを他のユーザーと共有できるようにすることを検討しています。何が起こることができる最悪ですか?私はそれを「安全」にする方法はありますか?ユーザーがページにJavaScriptを入力して他のユーザーと共有できるようにするには?
答えて
JavaScriptが他のユーザーにのみ表示され、実行されない場合は、完全に安全です
しかし、コードが実行されていれば、いくつかの悪いことが起こる可能性があります。起こりうる1つの非常に悪いことは、サイトがいわゆるpuppetnetを形成するために使用されていることです。人形はボットネットに似ていますが、代わりにブラウザを使用するため、人形は比較的短期間(人形とボットネットを区別します)することがあります。パペットネットは、分散型サービス拒否攻撃、ワームの伝播、スパム送信などに使用できます。
人形の詳細はhttp://www.cs.ucsd.edu/groups/sysnet/miscpapers/puppetnets-ccs06.pdfにあります。
です。 JavaScriptをテキストボックスに配置すると、それは単なるテキストであり、テキストを共有することができます。ここで行います。機械工学者がテキストを.jsファイルに保存し、それらをページに自動的に添付すると、重大な問題が発生する可能性があります。 もっと説明が良いかもしれません。
何が起きる可能性があるの名前は - Cross Site Scriptingです。基本的に、(悪意のある)ユーザーMalloryが別の(被害者)ユーザーAliceのコンテキストでコードを実行することを許可しています。
Hereは、ASP.Netで起こるのを防ぐための用紙です。
jsスニペットの動作ではなく、コンテンツを共有したい場合は、別の話です。その場合、Malloryによって投稿されたコードを含むAliceへの応答を送信するときに、解析され実行されないテキストとして適切に囲まれていることを確認する必要があります。
Here'sは、この問題の多くの紆余曲折を通過する別の論文です。
- 1. ユーザーがURLを入力して直接ページに移動すると、ユーザーをデフォルトのページにリダイレクトする
- 2. ユーザーがテキストボックスに入力するときにボタンを有効にする方法
- 3. ユーザーがFacebookの画像を共有できるようにする
- 4. CユーザーによるGUIユーザー入力
- 5. 他のユーザーが投稿を共有できるようにするための最適なデータベース設計
- 6. JavaScriptプロンプトボックスにユーザーが値を入力させるようにする
- 7. ユーザーがExt.form.field.HtmlEditorでテキストを入力したときにCtrl + Enterを入力する
- 8. ユーザーが特定のタグのみを入力できるようにする
- 9. GoogleカレンダーAPIを使用してサービスアカウントで作成したカレンダーを所有しているユーザーと、そのユーザーをどのように共有できますか?
- 10. ユーザー入力をjavascript配列に格納して表示する
- 11. ユーザーがHTMLコメントを入力できるようにする方法
- 12. ユーザーがログインするときに、セッションユーザーに自動コード入力
- 13. ユーザーがHTMLテキスト入力でバックスペースを入力したときに戻るのを避けるには?
- 14. ユーザーは入力を介して変数や他のデータ構造を参照できるようにするにはどうすればよいですか?
- 15. jQuery Ajaxでユーザー入力テキストを渡して結果をユーザーに出力する
- 16. ユーザー入力によるObservableCollectionのフィルタリング
- 17. ユーザー入力による配列の入力方法は?
- 18. Facebookページに写真を共有しているユーザーIDのリストを取得
- 19. javascriptを使用してhtmlページにユーザーが入力した文字列を受け入れる
- 20. 匿名ユーザーが共有ポイントのドキュメントライブラリにフォームの内容を保存できるようにする
- 21. は、ユーザーがアンドロイドアプリに画像を挿入できるようにしました
- 22. TDD JavaScriptのユーザー入力をシミュレートする
- 23. Facebookの共有後にユーザーをリダイレクトして公開する
- 24. ユーザーがログインしているときにフォーム入力を自動入力する方法は?
- 25. Javaで有効な入力を再入力するユーザー
- 26. ユーザーがログインしているときに、一部のページを利用できないようにする方法
- 27. ユーザーがjavascriptで入力しているときに文字を削除する方法
- 28. 他のテーブルの値が存在するときだけ、ユーザーがsqlのテーブルに値を入力できるようにしたい
- 29. ユーザーが他のユーザーにコメントを残さないようにする方法
- 30. フォームをPHPページにリンクしようとしていて、送信ボタンをクリックしたときにそのページにユーザーの入力を印刷したい場合
これはかなり面白いです!そして恐ろしい。ありがとうございました。 – Skofo