javascript - 允许用户向您的站点添加自己的 JavaScript 的安全问题？-6ren

javascript - 允许用户向您的站点添加自己的 JavaScript 的安全问题？

转载作者：搜寻专家更新时间：2023-11-01 05:12:09

26

4

我计划创建一个开源教育网络应用程序，人们可以在其中添加和编辑内容(有点像维基百科)。

但是我希望添加另一个功能，允许用户使用 JavaScript 添加他们自己的交互式内容。 (类似于 JSFiddle 的做法)

这样做的安全问题是什么？可选问题:如何克服这些问题？

最佳答案

是的，你可以使用 HTML5 Sandbox仅在 IFrame 中加载用户脚本。

您应该只托管来自与您的主站点不同的域的用户内容。这将防止任何 XSS如果攻击者说服用户直接访问该页面(在沙箱之外)，则进行攻击。例如如果您的网站是 www.example.com您可以使用以下代码来显示沙盒 IFrame(注意 .org 而不是 .com，这是一个完全不同的域):

<iframe src="https://www.example.org/show_user_script.aspx?id=123" sandbox="allow-scripts"></iframe>

这将允许脚本，但将阻止 IFrame 之外的表单和导航。请注意，这种方法仍然可能会给用户带来风险 hosting a phishing form to capture credentials .您应该确保您的网站和用户内容之间的界限在用户界面中是清晰的。即使我们没有指定 allow-forms , 这只会阻止直接提交表单，不会阻止表单元素和 JavaScript 事件处理程序将任何数据发送到外部域。

HTML5 Security Cheat Sheet guidance on OWASP声明这是沙箱的目的:

Use the sandbox attribute of an iframe for untrusted content

在渲染 IFrame 之前，您应该先测试是否支持沙箱:

<iframe src="/blank.htm" sandbox="allow-scripts" id="foo"></iframe>

var sandboxSupported = "sandbox" in document.createElement("iframe");

if (sandboxSupported) {
    document.getElementById('foo').setAttribute('src', 'https://www.example.org/show_user_script.aspx?id=123');
}
else
{
    // Not safe to display IFrame
}

通过动态更改 src 这样做更安全如果 sandboxSupported 而不是重定向是false因为如果重定向没有及时发生，iframe 就不会意外呈现。

作为一种更简单的替代方法，无需检查是否支持沙箱，您可以使用 srcdoc用于生成沙盒内容的 IFrame 属性，确保所有内容都是 HTML 编码的:

例如 <html><head></head><body>This could be unsafe</body></html>

将呈现为

<iframe srcdoc="<html><head></head><body>This could be unsafe</body></html>" sandbox="allow-scripts"></iframe>

或者您可以构造一个数据 blob 对象，注意再次进行 HTML 编码:

<body data-userdoc="&lt;html&gt;&lt;head&gt;&lt;/head&gt;&lt;body&gt;This could be unsafe&lt;/body&gt;&lt;/html&gt;">

<script>
var unsafeDoc = new Blob([document.body.dataset.userdoc], {type: 'text/html'});

var iframe = document.createElement('iframe');
iframe.src = window.URL.createObjectURL(unsafeDoc);
iframe.sandbox = 'allow-scripts';
</script>

当然你也可以设置unsafeDoc来自 JSON 数据源的变量。不建议加载 HTML 文件，因为它具有必须来自外部域的相同问题，因为攻击者可以诱使用户直接加载该文件。

此外，请不要试图将用户内容直接写入脚本 block 。如上图，data attributes这是执行此操作的安全方法，只要在输出服务器端时对用户数据执行正确的 HTML 编码即可。

在这些情况下，您可以离开 src作为blank.html作为不支持 srcdoc 的旧浏览器将简单地加载该 URL。

作为@Snowburnt触及，没有什么可以阻止用户脚本将用户重定向到一个站点，其中有 drive-by download发生，但这种方法，假设用户是最新的补丁，并且没有 zero day漏洞，这是一种安全的方法，因为它通过 same origin policy 保护其最终用户及其在您网站上的数据.

关于javascript - 允许用户向您的站点添加自己的 JavaScript 的安全问题？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/21218857/

26

4

0

文章推荐： javascript - 为响应式设计调整 ckeditor 的大小

文章推荐： ios - 对 iPhone 6+ 的@3x 图稿感到困惑

文章推荐： ios - xcode - 表格 View 下的进度条

问题
关闭。这个问题是off-topic .它目前不接受答案。想要改进这个问题？ Update the question所以它是on-topic用于堆栈溢出。关闭 12 年前。 Improve thi
问题
我有一个动态网格，其中的数据功能需要正常工作，这样我才能逐步复制网格中的数据。假设在第 5 行中，我输入 10，则从第 6 行开始的后续行应从 11 开始读取，依此类推。如果我转到空白的第一行并输入
问题
我有一个关于我的按钮消失的问题我已经把一个图像作为我的按钮用这个函数动画 function example_animate(px) { $('#cont
php - 将现有帐户链接到 Facebook - 问题/问题
我有一个具有 Facebook 连接和经典用户名/密码登录的网站。目前，如果用户单击 facebook_connect 按钮，系统即可运行。但是，我想将现有帐户链接到 facebook，因为用户可以选
iOS map View 问题/问题
我有一个正在为 iOS 开发的应用程序，该应用程序执行以下操作加载和设置注释并启动核心定位和缩放到位置。 map 上有很多注释，从数据加载不会花很长时间，但将它们实际渲染到 map 上需要一段时间。
ruby-on-rails - Heroku，问题/问题
我被推荐使用 Heroku for Ruby on Rails 托管，到目前为止，我认为我真的会喜欢它。只是想知道是否有人可以帮助我找出问题所在。我按照那里的说明在该网站上创建应用程序，创建并提交
Android WebView setCertificate 问题 SSL 问题
我看过很多关于 SSL 错误的帖子和信息，我自己也偶然发现了一个。我正在尝试使用 GlobalSign CA BE 证书通过 Android WebView 访问网页，但出现了不可信错误。对于大多
c++ - Glew 问题， Unresolved external 问题
我想开始使用 OpenGL 3+ 和 4，但我在使用 Glew 时遇到了问题。我试图将 glew32.lib 包含在附加依赖项中，并且我已将库和 .dll 移动到主文件夹中，因此不应该有任何路径问题。
问题？
我已经盯着这两个下载页面的源代码看了一段时间，但我似乎找不到问题。我有两个下载页面，一个 javascript 可以工作，一个没有。工作:http://justupload.it/v/lfd7不是
jquery - 初级 jQuery 问题(FF/IE 问题)
我一直在使用 jQuery，只是尝试在单击链接时替换文本字段以及隐藏/显示内容项。它似乎在 IE 中工作得很好，但我似乎无法让它在 FF 中工作。我的 jQuery: $(function() {
Android ndk 问题 socket 和 std 问题
我正在尝试为 NDK 编译套接字库，但出现以下两个错误: error: 'close' was not declared in this scope 和 error: 'min' is not a m
java - Selenium 问题 : Select. deselectAll() 导致 iframe 问题
我正在使用 Selenium 浏览器自动化框架测试网站。在测试过程中，我切换到特定的框架，我们将其称为“frame_1”。后来，我在 Select 类中使用了 deselectAll() 方法。不久之
连接到 Heroku PostgreSQL 的 Python 问题 - SSL 问题
我正在尝试通过 Python 创建到 Heroku PostgreSQL 数据库的连接。我将 Windows10 与 Python 3.6.8 和 PostgreSQL 9.6 一起使用。我从“ht
python - 在 Pandas 中创建新列的 np.where() 问题(可能是 NaN 问题？)
我有一个包含 2 列的数据框，我想根据两列之间的比较创建第三列。所以逻辑是:第 1 列 val = 3，第 2 列 val = 4，因此新列值什么都没有第 1 列 val = 3，第 2 列 va
css - 如何调试 iphone 5 中的 css 问题(ui 问题)？
我想知道如何调试 iphone 5 中的 css 问题。我尝试使用 firelite 插件。但是从纵向旋转到横向时，火石占据了整个屏幕。有没有其他方法可以调试 iphone 5 中的 css 问题
CSS 问题，input[id]+label，:hover, 和 :checked 问题
所以我有点难以理解为什么这不起作用。我正在尝试替换我正在处理的示例站点上的类别复选框。我试图让它做以下事情:未选中时以一种方式出现，悬停时以另一种方式出现(选中或未选中)选中时以第三种方式出现(而不是
javascript - 1 javascript/css 问题 2 perl cgi 问题
Javascript CSS 问题: 我正在使用一个文本框来写入一个 div。我使用以下 javascript 获取文本框来执行此操作: function process_input(){
algorithm - NP 中的语言(问题)和 P 中的语言(问题)之间的多项式时间减少
你好，我很难理解 P、NP 和多项式时间缩减的主题。我试过在网上搜索它并问过我的一些 friend ，但我没有得到任何好的答案。我想问一个关于这个话题的一般性问题: 设 A,B 为 P 中的语言(或
python-3.x - 该算法(解决 leetcode 问题 650)(问题 2)的时间复杂度是多少？
你好，我一直在研究 https://leetcode.com/problems/2-keys-keyboard/并想到了这个动态规划问题。您从空白页上的“A”开始，完成后得到一个数字 n，页面上应该
ios - Xcode Server Bot 问题 : warning. 生成服务错误。问题:路径 'some/path' 的存档格式不正确
我正在使用 Cocoapods 和 KIF 在 Xcode 服务器上运行持续集成。我已经成功地为一个项目设置了它来报告每次提交。我现在正在使用第二个项目并收到错误: Bot Issue: warnin

首页

博学

6Ren·AI

商城

javascript - 允许用户向您的站点添加自己的 JavaScript 的安全问题？