2
Tumblr、Posterousなどの多くのウェブサイトでは、ユーザーが自分のスタイルをアップロードできるようになっています。パーソナルスタイルには、HTML、Javascript、およびサーバーコードの両方が含まれる場合があります。だから私の質問はユーザーがスタイルをアップロードできるようにするウェブサイトを保護するサンドボックス
悪意のあるサーバーコードをアップロードするのを防ぐ方法です。
悪意のあるクライアントコード(Javascript)をアップロードしないようにする方法。
使用する関数のセットを制限することによって(1)を解決する方法をかなり理解しています。私は、(2)を心配しています。なぜなら、悪いコードをフィルタリングすることは非常に難しいからです。スタイルには、ユーザーセッションをいくつかの外部ソースに送信してから自分のIDを偽る悪意のあるコードが含まれている可能性があります。アップロードされたスタイルが外部フレームにないことに気付きました。そのため、ユーザーセッションを盗み出すことは明らかな懸念のようです。
上記の質問に詳しい方はいらっしゃいますか?