javascript - 纯 HTML 小部件安全吗?

标签 javascript security plugins firefox-addon widget

我想通过浏览器插件在随机页面上显示一些框。这些盒子的内容也是随机的。

从上述框中删除脚本的简单检查是否足以为用户提供安全的体验?

我必须将框放在 iframe 中吗?

我是否已经从 HTML 中剥离了额外的代码? (删除“脚本”标签就足够了吗?)

您知道哪些图书馆可以自动执行此操作吗?

最佳答案

Do I have to put the boxes in iframes?

是或否,取决于您对安全的定义。 这不会阻止脚本启动恶意软件下载、将用户重定向到网络钓鱼页面、对用户当前登录的设计不佳的网站进行 XSRF 攻击。

Is a simple check to remove scripts from said boxes enough to offer a user a safe experience?

没有。嵌入脚本的方法有很多种,简单的检查很少能做到正确。例如,脚本可以嵌入链接、CSS、SVG、数据:URL 等。 不要使用自己的 HTML sanitizer 。

尽管沙盒 JavaScript 与您关于安全 HTML 小部件的问题直接相关。看 http://code.google.com/p/google-caja/wiki/CorkboardDemo

关于javascript - 纯 HTML 小部件安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5515264/

上一篇:javascript - 具有延迟的 hoverintent 函数

下一篇:php - 为什么这不起作用(javascript + 音频播放器)

相关文章:

Asp.net:System.Security.SecurityException

php - 使用 PolyLang 按类别和语言获取帖子

java - 有没有比一堆 if 语句更好的方法来调用我的方法?

Java 帮助 25% 的时间

javascript - 在Dygraphs的图例中,我们可以先显示Y值,然后显示X值吗?

javascript - 编辑布局以在元素之间使用垂直规则。

windows - OpenSSL 源代码中的哪些代码包含 FREAK 漏洞?

javascript - 为什么我不能先定义函数?

javascript - Angular JS Promise + 对象构造函数

security - 使用 WSS 进行身份验证然后使用 WS 进行数据有意义吗?

©2024 IT工具网  联系我们