在我的应用程序中,我让注册用户创建他们自己的个人网站,并且我想让他们在网站标题中添加分析代码。我知道让他们添加自己的内容存在风险,因此我仅限于让他们添加 Google 分析代码。
如果我让他们在网站标题中输入自己的 JavaScript,可能会发生什么更糟糕的情况。
如何才能限制仅添加 Google 分析代码?
最佳答案
不要让他们添加整个 JavaScript。您添加 JavaScript 并让他们设置 Google Analytics ID,您可以验证该 ID 是否采用正确的格式。这样他们就无法向您的网站添加任何代码,并且您可以轻松清除不良值。
关于javascript - 让用户向网站标题添加内容的安全漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10417634/