允许用户将自己的 JavaScript 添加到您的网站是否存在安全问题？

2024-04-30

我计划创建一个开源教育网络应用程序，人们可以在其中添加和编辑内容（有点像维基百科）。

不过，我希望添加另一个功能，允许用户使用 JavaScript 添加自己的交互式内容。（类似于 JSFiddle 的做法）

这样做有哪些安全问题？可选问题：如何克服这些问题？

是的，你可以使用HTML5 沙箱 http://msdn.microsoft.com/en-us/hh563496.aspx仅在 IFrame 中加载用户脚本。

您应该只托管来自与主站点不同的域的用户内容。这将防止任何XSS https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)如果攻击者说服用户直接访问页面（在沙箱之外），则进行攻击。例如如果您的网站是www.example.com您可以使用以下代码来显示沙盒 IFrame（注意 .org 而不是 .com，这是一个完全不同的域）：

<iframe src="https://www.example.org/show_user_script.aspx?id=123" sandbox="allow-scripts"></iframe>

这将允许脚本，但 IFrame 外部的表单和导航将被阻止。请注意，这种方法仍然可能会给用户带来风险托管网络钓鱼表单以捕获凭据 https://stackoverflow.com/a/62431584/413180。您应该确保您的网站和用户内容之间的界限在用户界面中清晰可见。即使我们没有指定allow-forms，这只会阻止直接提交表单，但不会阻止表单元素和 JavaScript 事件处理程序将任何数据发送到外部域。

The OWASP 上的 HTML5 安全备忘单指南 https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet#Sandboxed_frames声明这是沙箱的目的：

对不受信任的内容使用 iframe 的沙箱属性

在渲染 IFrame 之前，您应该首先测试是否支持沙箱：

<iframe src="/blank.htm" sandbox="allow-scripts" id="foo"></iframe>

var sandboxSupported = "sandbox" in document.createElement("iframe");

if (sandboxSupported) {
    document.getElementById('foo').setAttribute('src', 'https://www.example.org/show_user_script.aspx?id=123');
}
else
{
    // Not safe to display IFrame
}

通过动态改变来做到这一点更安全src而不是重定向离开如果sandboxSupported is false因为如果重定向没有及时发生，iframe 就不会意外地被渲染。

作为更简单的替代方案，无需检查沙箱是否受支持，您可以使用srcdocIFrame 属性生成沙盒内容，确保所有内容都是 HTML 编码的：

e.g. <html><head></head><body>This could be unsafe</body></html>

将被渲染为

<iframe srcdoc="<html><head></head><body>This could be unsafe</body></html>" sandbox="allow-scripts"></iframe>

或者您可以构造一个数据 blob 对象，再次小心 HTML 编码：

<body data-userdoc="&lt;html&gt;&lt;head&gt;&lt;/head&gt;&lt;body&gt;This could be unsafe&lt;/body&gt;&lt;/html&gt;">

<script>
var unsafeDoc = new Blob([document.body.dataset.userdoc], {type: 'text/html'});

var iframe = document.createElement('iframe');
iframe.src = window.URL.createObjectURL(unsafeDoc);
iframe.sandbox = 'allow-scripts';
</script>

当然你也可以设置unsafeDoc来自 JSON 数据源的变量。不建议加载 HTML 文件，因为这也存在必须来自外部域的相同问题，因为攻击者可能会诱使用户直接加载该文件。

另外，请不要试图将用户内容直接写入脚本块。如上图所示，数据属性 https://stackoverflow.com/a/21432375/413180是执行此操作的安全方法，只要在服务器端输出时对用户数据执行正确的 HTML 编码即可。

在这些情况下你可以离开src as blank.html作为不支持的旧浏览器srcdoc将简单地加载该 URL。

As @斯诺伯恩 https://stackoverflow.com/a/21218981/413180谈到，没有什么可以阻止用户脚本将用户重定向到某个网站，其中路过式下载 http://en.wikipedia.org/wiki/Drive-by_download会发生，但这种方法假设用户是最新的补丁，并且没有zero day http://en.wikipedia.org/wiki/Zero-day_attack漏洞，这是一种安全的方法，因为它通过同源政策 http://en.wikipedia.org/wiki/Same-origin_policy.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

security

允许用户将自己的 JavaScript 添加到您的网站是否存在安全问题？的相关文章

python：API 令牌生成及其危险

我正在按照 Flask Web Development 一书来实现基于令牌的身份验证基本上用户使用 HTTP 基本身份验证对其进行身份验证并为其生成令牌 s Serializer app config SECRET KEY expir
在 JavaScript 中生成 RSA 密钥对

我最近发现了这个 RSA JavaScript 库 http www ohdave com rsa http www ohdave com rsa 但是它要求预先生成密钥这是我的问题问题我想在 JavaScript 中生成 RSA
在 Javascript 中获取第一个数字出现后的子字符串

我正在尝试提取第一个数字之后并包括的字符 ABC 123SD gt 123SD 123 gt 123 123SD gt 123SD ABC gt 我当前的解决方案如下 var string1 ABC 123SD var firstDig
定义 js-xlsx 单元格范围

我正在尝试使用 js xlsx 读取 Excel 值我可以使用以下代码从工作簿工作表中获取单元格值 if typeof require undefined XLSX require xlsx var workbook XLSX readF
限制可选 DOM 复选框

我试图限制用户可以选择的复选框数量这些复选框是为数组中的每个项目生成的 DOM 输入对象我目前对此没有运气因此非常感谢任何帮助谢谢在这里小提琴 http jsfiddle net vVxM2 222 http jsfiddle n
PHP - hash_pbkdf2 函数

我正在尝试使用此 php 函数执行一个函数来哈希密码 http be php net manual en function hash pbkdf2 php http be php net manual en function hash pb
Web 组件 - 服务/非 html 组件

所以我来自 Angular 想看看如何创建vanilla Web components 现在从 Angular 开始我们倾向于将事物分开组件充当 HTML CSS 和一些 javascript 然后是服务主要负责收集数据和执行不
启用/禁用由用户输入确定的复选框

我有一个简单的表单用户可以在其中输入他的联系号码如果联系号码以 07 开头则该复选框已启用其他我需要禁用它的复选框我已经编写了一些代码但我面临的问题是当用户键入 01 时它会被禁用但如果他们继续在 01 之后添加任何其他数
如何使用 Angular JS 单击时将 html 模板附加到 div/指令？

我有这种情况
有没有办法将变量从 javascript 导入到 sass 或反之亦然？

我正在制作一个依赖于块概念的 CSS 网格系统所以我有一个基本文件例如 max columns 4 block width 220px block height 150px block margin 10px 它被 mixin 使用 m
循环遍历元素并逐步为每个元素应用 CSS 规则

我有一个网格布局每个网格布局中都有不同数量的元素我想动态添加内联grid column通过循环遍历 div 中存在的每个元素的 CSS 规则 ul 与一类 list 所以 HTML 代码的输出需要是 ul class list ul u
如何调用 google 的 getBasicProfile() 来仅单击按钮即可登录 google？

我在我的网站上使用谷歌登录
ToggleClass 动画 jQuery？

我的网站上有一个部分当用户单击时我希望它展开我正在使用 jQuerytoggleClass为了这 expandable function e e preventDefault this closest article toggleCla
使用日期字符串数组在引导日期选择器中设置禁用月份不起作用

我有一个日期选择器其配置如下 HTML div class input group date div
禁用特定 div 上的 Tab 键

我有以下结构 div div Some content div div Some content div div 我想禁用 div2 上的 tab 键我的意思是按下 tab 键时 div2 的元素不会获得焦点有没有简单的方法可以使用
尝试在 React 应用程序中连接到 MySQL 数据库时，无法读取未定义的属性（读取“查询”）错误

我正在尝试连接到 MySQL 数据库并在单击按钮后在 React 应用程序中运行查询一些它如何给出错误我当前的代码如下所示 import mysql from mysql function App async function sync
MongoDB中如何通过引用字段进行查询？

我有两个 Mongo 模式 User id ObjectId name String country ObjectId Reference to schema Country Country id ObjectId name String
将 RequireJS 与遗留代码结合使用

我正在处理一个非常大的项目该项目使用包含带有脚本标记的 javascript 文件的旧版 JSP 页面使用其他 javascript 模块而不使用 RequireJS 的骨干模型和视图现在我们希望开始将 RequireJS 与 j
强制输入数字小数位

我想强制
无法使用 HTML 设置未定义 jQuery UI 自动完成的属性“_renderItem”

我使用以下代码将 jQuery UI 自动完成项呈现为 HTML 这些项目在自动完成控件中正确呈现但我不断收到此 JavaScript 错误并且无法移动过去 Firefox 无法转换 JavaScript 参数 Chrome 无法设置未定

随机推荐

CCAvenue iOS 套件集成套件

我正在尝试将 CCAvenue 支付集成集成到 iOS 中他们给了我两个库文件名为 libcrypto a and libssl a 他们还给了我一些头文件为了实现这一点他们提到我应该在构建设置中设置标头搜索路径和库搜索路径我已经
Arduino串口数据解析

我正在编写一个应用程序通过蓝牙用我的 Android 手机控制我的机器人一切都很顺利数据得到回显和验证但我在协议方面遇到了一些问题特别是我希望我的机器人的轮子在我发送时转动一个命令例如s 10 100 or s 30 10 数值
php 中的 PDOException“找不到驱动程序”

我已经在 Linux 系统上安装了 Lampp 并且正在学习 symfony2 同时尝试使用 symfony2 命令创建架构 php app console doctrine schema create 我收到以下错误消息 PDOExcep
为什么 HTML 标记中的

允许用户将自己的 JavaScript 添加到您的网站是否存在安全问题？

允许用户将自己的 JavaScript 添加到您的网站是否存在安全问题？ 的相关文章

随机推荐

允许用户将自己的 JavaScript 添加到您的网站是否存在安全问题？的相关文章