私のアプリケーションでは、登録ユーザーが自分の個人用Webサイトを作成できるようにしました。サイトヘッダに分析コードを追加します。 Googleアナリティクスのコードを追加できるように制限しているので、自分のコンテンツを追加するリスクがあることを理解しています。ユーザーがサイトのヘッダーにコンテンツを追加するセキュリティ上の脆弱性
私が自分のJavaScriptをウェブサイトのヘッダーに入力させると、それが起こる可能性がさらに低くなります。
追加するGoogleアナリティクスコードのみを制限する方法を教えてください。
これはユーザーをフィッシングまたはマルウェアサイトにリダイレクトする可能性があります。ドライブバイダウンロードを設定しようとする。ページの内容全体を完全に書き直し、セッション、ログイン資格情報、その他の情報をユーザーから奪ったり、サイトを改ざんしたりする。あなたのサイトにいる間、ユーザーのブラウザにキーロガーをインストールしてください。
提供されているID文字列が、すべての診断IDが従わなければならないパターンに合っていることを確認する小切手を書いてください。アナリティクスIDに表示される可能性のある文字のみを許可します。周囲のjsコードの残りの部分を自分で生成します。 @yahelcは正規表現^UA-\d+-\d+$を提供してUA IDを検証しています。
ユーザーは、数年前にMySpaceページにJavaScriptコードを注入する方法を理解しました。これまでに作成された最も速いワーム。 http://betanews.com/2005/10/13/cross-site-scripting-worm-hits-myspace/ – Eduardo
JavaScriptを追加しないでください。 JavaScriptを追加し、GoogleアナリティクスIDを適切な形式であると検証できるように設定します。そうすれば、サイトにコードを追加することができず、悪い値を簡単に取り除くことができます。
あなたはUA idを意味しますか? Googleアナリティクスのコードを作成するのに十分な情報ですか? – blackpla9ue
機能を追加できるようにするには、必要な機能を選択して自分でコードを追加することができます。たとえば、ページの読み込み速度をトラッキングする例があります。 –
あなたの入力を丁寧に覚えておいてください。それ以外の場合は、次のIDを挿入できます。 'UA-XXXX-X '; evil(); // '。 GAアカウント番号の形式で番号を挿入するようにしてください。 – Eduardo
#1については、http://en.wikipedia.org/wiki/Cross-site_scriptingを参照してください。信頼できないユーザーに、あなたのサイトが任意のスクリプトを提供することを許可しないでください。 – apsillers