2
许多像Tumblr这样的网站,Posterous允许用户上传他们自己的风格。个人风格可能包含HTML,Javascript和服务器代码。所以我的问题是沙箱保护允许用户上传风格的网站
如何防止用户上传恶意服务器代码。
如何防止用户上传恶意客户端代码(Javascript)。
我很明白如何解决(1)通过限制要使用的功能集。我更关心(2),因为过滤不好的代码非常困难。这些样式可能包含将用户会话发送给某些外部来源然后伪造其身份的恶意代码。我注意到上传的样式不在外部框架中,所以窃取用户会话似乎是一个明显的问题。
有没有人对上述问题有更好的认识?