Существуют ли какие-либо возможные проблемы с безопасностью, если я разрешаю пользователям загружать свои собственные файлы html / css / js?

Question

Я создаю магазин, в котором я хочу разрешить пользователям загружать настраиваемый веб-сайт html / js / css для отображения с их продуктом.

Какие проблемы безопасности следует искать?

Answer 1

Две самые большие проблемы, связанные с D HTML:

• Внедрение скрипта
• Межсайтовый скриптинг

CSS файлы безопасны Файлы

. html и. js НЕ безопасны. Вы можете сделать файлы. html безопасными, настаивая на своей собственной Content-Security-Policy: отключение встроенных скриптов и стилей и разрешение им использовать только те библиотеки, которые вы проверили. Файлы. js необходимо лично проверить, чтобы убедиться, что они безопасны.

Мой совет: вместо того, чтобы разрешать им обновлять файлы html и js, было бы безопаснее предоставить шаблон что они могут быть размещены в сети, и чей контент вы можете сохранить в базе данных.