ユーザーがJavaScriptを動的に追加できるようにするWebページのセキュリティ

Question

私のエンド・ユーザーに必要なJavaScriptを実行するためのリンクを設定できるようにするWebサイトの要件を実装しました。以来、彼は彼が必要とする任意のjavascriptを入力することができるので、彼はまた、別のWebページを開く能力、javascriptを介して新しいページを作成する、javascriptなどを介してページ内の要素を編集することができます。

私はこの機能に関するいくつかのセキュリティ上の懸念を抱いており、誰もが何らかの意見を求めたいと考えています。法律や命令の問題や信頼性の問題を引き起こす可能性のある悪意のあるスクリプトや倫理に反するスクリプトがページに追加される可能性はありますか？もしそうなら、私のユーザーが追加できるjavascriptのタイプを制限するコードをいくつか配置することは可能ですか？

Answer 1

悪質なコードを防ぐためのJavascriptの厳密なサブセットであるバナー広告用に開発されたADsafeというものがあります。私はあなたがjavascriptを経由し、そういえ

に、

オープン異なるWebページのようなものを行うJavaScriptで新しいページを作成し、ページ内の要素を編集することはできないと思います。私はあなたのニーズを再考し、ユーザーがと書いて、あらかじめ決められた範囲内でカスタマイズするという、あらかじめ決められたコードから選択できるようにする方法を考案できるかどうかを判断しようとします。

また、javascriptが入力されたユーザーに対してのみ実行されることを絶対に確信している場合は、他のユーザーのためにそれを実行することはできません。ユーザーが決定された場合、彼または彼女は単純に書き換えプロキシや拡張や単純にjavascriptコンソールのような他の手段で自分のJavaScriptを注入することができます。