我想通过浏览器插件在随机页面上显示一些框。这些盒子的内容也是随机的。
从上述框中删除脚本的简单检查是否足以为用户提供安全的体验?
我必须将框放在 iframe 中吗?
我是否已经从 HTML 中剥离了额外的代码? (删除“脚本”标签就足够了吗?)
您知道哪些图书馆可以自动执行此操作吗?
最佳答案
Do I have to put the boxes in iframes?
是或否,取决于您对安全的定义。 这不会阻止脚本启动恶意软件下载、将用户重定向到网络钓鱼页面、对用户当前登录的设计不佳的网站进行 XSRF 攻击。
Is a simple check to remove scripts from said boxes enough to offer a user a safe experience?
没有。嵌入脚本的方法有很多种,简单的检查很少能做到正确。例如,脚本可以嵌入链接、CSS、SVG、数据:URL 等。 不要使用自己的 HTML sanitizer 。
尽管沙盒 JavaScript 与您关于安全 HTML 小部件的问题直接相关。看 http://code.google.com/p/google-caja/wiki/CorkboardDemo
关于javascript - 纯 HTML 小部件安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5515264/