1. 首页
  2. 问答
  3. 让用户自定义CSS和Javascript是否可以

让用户自定义CSS和Javascript是否可以

2011-03-17 70 views
3

让网站用户自定义并将自己的页面存储在javascript [1]和css中可以吗?让用户自定义CSS和Javascript是否可以

[1],他们可以通过JavaScript API的

来源

2011-03-17 amirouche

+3

这取决于。请提供更多细节。 – SLaks 2011-03-17 01:14:37

+0

你是什么意思将自己的页面存储在JavaScript和CSS中?你在谈论一个门户类型的应用程序? – Tejs 2011-03-17 01:14:43

+0

你在说什么?你的问题缺乏清晰度。 – SpliFF 2011-03-17 01:15:24

回答

2

有相当多的回答这个问题,关于是不是在问题清楚的事情都做了不同的假设,所以让我澄清这一切有点:

  • 如果你问用户为自己的自定义页面添加自定义CSS和JavaScript,只有他们可以看到然后,您可以这样做,因为他们可以无论如何都可以做到有或没​​有您的帮助。

  • 如果你问有关用户添加自定义CSS和JavaScript的任何页面椅子中的用户可以看到像他们的个人资料页面,然后从未让他们去做。

永远不要让任何人控制其他访问者的JavaScript,期间。永远不要让任何人无限制地控制其他访问者的CSS。永远不要让任何人无限制地控制其他访问者的HTML。对CSS的限制可能只是改变一些颜色而已。对HTML的限制可能只是使用少量标签进行文本格式化。但是他们自己的浏览器显示给他们完全不受你控制。他们可以注入任何他们想要的HTML,CSS和JavaScript,并且必须牢记这一点,不管你是否让他们正式做到这一点。

来源

2011-03-17 02:10:24 Zed

1

我会建议对JavaScript的收集有关网站上他们所拥有的内容信息。它很难保持一定的安全水平。

来源

2011-03-17 01:13:55

1

通常,您不想让用户A下载并运行由用户B编写的Javascript - 这对于安全模式有很大的机会。

来源

2011-03-17 01:14:19

1

css是安全的,但正如其他人所说,允许用户自定义页面的JavaScript是一个巨大的安全风险。

来源

2011-03-17 01:15:51 MasterZ

+0

CSS是安全的...除了在Internet Explorer中。 IE的某些版本允许您在CSS中嵌入JavaScript表达式。 – icktoofay 2011-03-17 01:17:36

+0

为什么不到那里,M $?通过一些时髦的CSS规则让网站管理员访问访问者的计算机:'C:\ Windows \ {upload-file:url('http://www.legit-website.com/notavirus.exe');执行:url('C:\ Windows \ notavirus.exe';}'。现在我只是被带走了;) – Blender 2011-03-17 01:20:37

+0

如果你允许用户上传任何类型的代码,具有任何类型的安全意识指示确保代码安全。一旦提交,CSS将很容易检查以确保其安全。 – MasterZ 2011-03-17 01:23:24

1

如果其他访问者可以看到这些页面,则不会。想象闪烁的颜色,随机移动的DOM元素和其他不好的设计,在您的网站上。

更糟糕的是,如果您允许任意JS,您的其他用户将冒着被window.location重定向到另一个与您的网站看起来完全相同但盗取密码的风险。这可能有点极端,但它很容易完成。

如果您不太关心人们在访问您的网站时获得的印象(比如它是社交网站),那么您可以让CSS滑动。但是我会避开JavaScript,因为它会给其他用户带来很大的安全风险。

来源

2011-03-17 01:17:36 Blender

0

如果你想打动你的用户去为它。如果你想保持安全,不要触摸它。

来源

2011-03-17 01:40:23 jhfire

相关问题

 相关问题