Tod*_*Low 2 javascript php jsfiddle
我有一个会员网站,用户可以将自己的代码嵌入到他们的个人资料中.我想允许他们在自己的个人资料中加入嵌入代码,例如YouTube和Javascript嵌入代码.
我注意到JsFiddle.net可以做到这一点.有人知道如何复制此安全性吗?
感谢您的任何帮助!
为用户提交的HTML,CSS和JavaScript 专门设置一个完全独立的域名(例如"exampleusercontent.com").不允许通过您的主域名加载此内容.然后使用iframe将用户内容嵌入到您的网页中.
如果您需要比简单框架更紧密的集成,window.postMessage()可能会有所帮助,允许不同框架中的脚本以受控方式相互通信.
另外,Google Caja是一个用于沙盒化第三方JavaScript的开源编译器,尽管有时人们发现了一个漏洞.
你可能不想依靠Caja作为你唯一的防御层.毕竟,Facebook确实放弃了类似的系统(称为FBML/FBJS),转而使用iframe沙盒方法.
| 归档时间: |
|
| 查看次数: |
322 次 |
| 最近记录: |