回答
有相当多的回答这个问题,关于是不是在问题清楚的事情都做了不同的假设,所以让我澄清这一切有点:
如果你问用户为自己的自定义页面添加自定义CSS和JavaScript,只有他们可以看到然后,您可以这样做,因为他们可以无论如何都可以做到有或没有您的帮助。
如果你问有关用户添加自定义CSS和JavaScript的任何页面椅子中的用户可以看到像他们的个人资料页面,然后从未让他们去做。
永远不要让任何人控制其他访问者的JavaScript,期间。永远不要让任何人无限制地控制其他访问者的CSS。永远不要让任何人无限制地控制其他访问者的HTML。对CSS的限制可能只是改变一些颜色而已。对HTML的限制可能只是使用少量标签进行文本格式化。但是他们自己的浏览器显示给他们完全不受你控制。他们可以注入任何他们想要的HTML,CSS和JavaScript,并且必须牢记这一点,不管你是否让他们正式做到这一点。
我会建议对JavaScript的收集有关网站上他们所拥有的内容信息。它很难保持一定的安全水平。
通常,您不想让用户A下载并运行由用户B编写的Javascript - 这对于安全模式有很大的机会。
css是安全的,但正如其他人所说,允许用户自定义页面的JavaScript是一个巨大的安全风险。
CSS是安全的...除了在Internet Explorer中。 IE的某些版本允许您在CSS中嵌入JavaScript表达式。 – icktoofay 2011-03-17 01:17:36
为什么不到那里,M $?通过一些时髦的CSS规则让网站管理员访问访问者的计算机:'C:\ Windows \ {upload-file:url('http://www.legit-website.com/notavirus.exe');执行:url('C:\ Windows \ notavirus.exe';}'。现在我只是被带走了;) – Blender 2011-03-17 01:20:37
如果你允许用户上传任何类型的代码,具有任何类型的安全意识指示确保代码安全。一旦提交,CSS将很容易检查以确保其安全。 – MasterZ 2011-03-17 01:23:24
如果其他访问者可以看到这些页面,则不会。想象闪烁的颜色,随机移动的DOM元素和其他不好的设计,在您的网站上。
更糟糕的是,如果您允许任意JS,您的其他用户将冒着被window.location
重定向到另一个与您的网站看起来完全相同但盗取密码的风险。这可能有点极端,但它很容易完成。
如果您不太关心人们在访问您的网站时获得的印象(比如它是社交网站),那么您可以让CSS滑动。但是我会避开JavaScript,因为它会给其他用户带来很大的安全风险。
如果你想打动你的用户去为它。如果你想保持安全,不要触摸它。
- 1. 是否有可能利用JavaScript的自定义CSS属性?
- 2. 是否可以在C#中调用用户定义的(自定义)R函数?
- 3. 是否可以自定义commitEditingStyle?
- 4. 是否可以自定义buildSrc项目?
- 5. 是否可以自定义UITabBarItem徽章?
- 6. 是否可以自定义绘制ListViewGroup
- 7. 是否可以自定义UIImagePickerController?
- 8. 是否可以自定义MKUserTrackingBarButtonItem?
- 9. 是否可以自定义Android PopupMenu?
- 10. 是否可以自定义CNContactPickerViewController?
- 11. 是否可以自定义RichTextBox.DetectUrls行为
- 12. 是否可以使用T4MVC和global.asax中定义的自定义路由?
- 13. 是否可以为CSS转换指定自定义定时函数?
- 14. 是否可以使用类方法来定义CSS样式?
- 15. 是否可以在InfluxDB中定义自定义聚合?
- 16. 是否可以在TFS 2017中定义自定义的ExternalLinkFilter?
- 17. 是否可以为NSString设置自定义字体和大小?
- 18. 是否可以在内容属性的值中使用CSS自定义属性?
- 19. Ajax发送,我可以知道用户是否来自JavaScript?
- 20. 是否可以使用Android API使用自定义窗体创建Google帐户?
- 21. 是否可以在ResearchKit框架中使用自定义用户界面?
- 22. 让用户为自定义布局编写DB存储的CSS
- 23. 是否可以使用自定义字体 - 使用font-face?
- 24. 用户是否可以访问我的网页的JavaScript的函数定义?
- 25. 是否可以通过JavaScript使用选择器API自定义投递箱?
- 26. 是否可以让自定义的源数据创建数据透视表?
- 27. 是否可以将Hibernate <component>列映射到自定义用户类型?
- 28. 是否可以更改SQL用户定义的数据类型?
- 29. 是否可以向用户定义类型添加说明?
- 30. 是否可以使用JavaScript
这取决于。请提供更多细节。 – SLaks 2011-03-17 01:14:37
你是什么意思将自己的页面存储在JavaScript和CSS中?你在谈论一个门户类型的应用程序? – Tejs 2011-03-17 01:14:43
你在说什么?你的问题缺乏清晰度。 – SpliFF 2011-03-17 01:15:24