Могу ли я предотвратить вставку Javascript пользователем в режим разработки IFrame?

Question

Я создаю веб-приложение, которое содержит IFrame в режиме разработки, чтобы мой пользователь мог «переписать» свой контент и вставить контент, который будет отображаться на их странице. Как и редактор WYSIWYG на большинстве блогов и форумов.

Я пытаюсь вспомнить все потенциальные дыры в безопасности, которые мне нужно закрыть, одна из которых - вставка пользователем в Javascript:

<script type="text/javascript">

// Do some nasty stuff

</script>

Теперь я знаю, что могу удалить это на стороне сервера, прежде чем сохранить его и / или отправить его обратно, но меня беспокоит возможность того, что кто-то сможет вставить какой-нибудь скрипт и запустить его тут же, даже не отправляя его обратно на сервер для обработки.

Я беспокоюсь ни о чем?

Любой совет был бы замечательным, не мог найти много, ища Google.

Anthony

Answer 1

... Меня беспокоит возможность того, что кто-то сможет вставить какой-нибудь сценарий и запустить его тут же, даже не отправляя обратно на сервер для обработки.

Я беспокоюсь ни о чем?

В Firefox есть плагин Greasemonkey, который позволяет пользователям произвольно запускать JavaScript для любой страницы, которая загружается в их браузер, и с этим ничего нельзя поделать. Firebug позволяет вам изменять веб-страницы, а также запускать произвольный JavaScript.

AFAIK, вам действительно нужно беспокоиться только после того, как он попадет на ваш сервер, а затем потенциально ударит других пользователей.

Answer 2

Как сказал Джейсон, я бы больше сосредоточился на очистке данных на стороне сервера. У вас нет реального контроля на стороне клиента, если вы не используете Silverlight / Flex, и даже тогда вам нужно будет проверить сервер.

Тем не менее, вот несколько советов из "A List Apart" , которые могут оказаться полезными в отношении очистки данных на стороне сервера.

http://www.alistapart.com/articles/secureyourcode