フィールドに貼り付けられたスクリプトの妥当性確認

Question

ウェブサイトにテキストエリアを追加して、スクリプト全体を貼り付けて保存することができます。

私が心配しているのは、他のコードをフィールドに注入しようとするユーザーです。

これは...スクリプトがどのように見えるかではありませんIDと進が変わるだろうが、何も：私の質問は...ある

<script type="text/javascript"> 
      var advertvars_vars = { 
      pubid: '00000000000', // publisher id 
      bgcolor: '804296', // background color (hex) 
      text: 'FFFFFF', // font-color (hex) 
      test: true 
      }; 
</script> 
<script type="text/javascript" src="http://mysite.com/static/ad.js"></script> 

することは、とにかく、ユーザは、上記のように、有効なコードを貼り付けていることを検証するあります？

Answer 1

これは問題を引き起こしています。どのように徹底的に検証しても、は、テキストボックスに何か悪いものを注入する方法を考え出します。決して、これまでにeval()などを実行したり、ユーザーの入力から何かを直接実行したりしないでください。 pubid、colorなどの値を入力できるフォームを追加して、それらを検証してから自分でjavascriptチャンクを組み立てるだけです。

Answer 2

ユーザーからIDと16進数のみを取得し、サーバー上でこれらの値を検証し、最終的に構成されたスクリプトに設定することをお勧めします。