2009-01-22 89 views
2

我试图设计一些书签,现在连接回服务器(如玉兰),但由于其本质bookmarklike似乎飞在面对什么是建立为互联网安全,而且他们基本上是交叉的,网站脚本的定义,但他们也是强大和酷的工具,并符合我的要求,所以我想使用它们的需要。在开发书签时需要考虑什么样的设计和安全考虑因素?

但是,因为它们可能是Javascript使用的丑小鸭,我想知道什么是应该在设计和安全性方面应用的一些特殊考虑和常识。

谢谢!

编辑:我的一个政策是,如果用户在https页面内,书签不会启动。

回答

3

这真的是其他用户不必担心的书签。如果它来自不受信任的来源,则不知道它在激活时可能会做什么(窃取cookie或窃取敏感信息)。由于您的代码是跨站点注入的,因此对您没有实际的危险,并且只对您的用户如果你故意把它们放在那里。

编辑:

我会避免代码可能与主机页的全球范围内干扰,如重新定义全局对象和原型。您可以将您的所有bookmarlet代码功能块内限制其范围:

(function(){ 

// your code 

})() 

该块内定义将不与主机页面干涉,除非你动用全局对象和原型的所有变量和函数, DOM等。如果您发布了一个可能需要执行此操作的示例,那么我们可能会帮助重构。

+0

我还担心功能冲突,比如说主页重新定义了基本的原型,然后我的脚本可能会很奇怪。任何想法如何在这里安全地玩? – 2009-01-22 03:08:33