那些遇到过的问题

小编olt*_*eba的帖子

嵌入式JavaScript和HTML中的安全性

我正在尝试找到以下情况的解决方案:

  • 我有一个由HTML,javascript,AJAX,广告等组成的Web应用程序.
  • 我希望用户贡献我的应用程序/网站创建插件,将嵌入其中.
  • 这个插件将使用类似的技术(ajax,HTML等)创建,所以我需要允许插件运行自己的JavaScript代码.
  • 每个插件都将在一个页面中工作,该页面将包含一些用户信息和插件(如旧的fbml facebook应用程序)

问题是,通过这种方式,插件还可以调用以获取用户信息.(因为插件的代码是嵌入式的,它的域名将与主要网站相同,代码将完全在我的网站上).

所以问题是:如何避免它,并准确控制插件可以获得有关用户的信息?

该插件不会被检查,并且可以随时更改,因此阅读所有插件代码不是解决方案.

我对任何提案持开放态度,可能简单有效,并且可能不会将整个插件放在iframe中.

- 编辑:当有旧方法创建应用程序时,Facebook如何做?(现在它只是iframe,但有FBML应用方式,他们是如何获得这种安全的?)

javascript security ajax embedding

olt*_*eba
2012 12-08
6
推荐指数
1
解决办法
814
查看次数

标签 统计

ajax ×1

embedding ×1

javascript ×1

security ×1