ユーザーがページにJavaScriptを入力して他のユーザーと共有できるようにするには？

Question

私は、ユーザーがWebページにJavaScriptを入力し、それらのページを他のユーザーと共有できるようにすることを検討しています。何が起こることができる最悪ですか？私はそれを「安全」にする方法はありますか？

Answer 1

JavaScriptが他のユーザーにのみ表示され、実行されない場合は、完全に安全です

しかし、コードが実行されていれば、いくつかの悪いことが起こる可能性があります。起こりうる1つの非常に悪いことは、サイトがいわゆるpuppetnetを形成するために使用されていることです。人形はボットネットに似ていますが、代わりにブラウザを使用するため、人形は比較的短期間（人形とボットネットを区別します）することがあります。パペットネットは、分散型サービス拒否攻撃、ワームの伝播、スパム送信などに使用できます。

人形の詳細はhttp://www.cs.ucsd.edu/groups/sysnet/miscpapers/puppetnets-ccs06.pdfにあります。

Answer 2

です。 JavaScriptをテキストボックスに配置すると、それは単なるテキストであり、テキストを共有することができます。ここで行います。機械工学者がテキストを.jsファイルに保存し、それらをページに自動的に添付すると、重大な問題が発生する可能性があります。 もっと説明が良いかもしれません。

Answer 3

何が起きる可能性があるの名前は - Cross Site Scriptingです。基本的に、（悪意のある）ユーザーMalloryが別の（被害者）ユーザーAliceのコンテキストでコードを実行することを許可しています。

Hereは、ASP.Netで起こるのを防ぐための用紙です。

jsスニペットの動作ではなく、コンテンツを共有したい場合は、別の話です。その場合、Malloryによって投稿されたコードを含むAliceへの応答を送信するときに、解析され実行されないテキストとして適切に囲まれていることを確認する必要があります。

Here'sは、この問題の多くの紆余曲折を通過する別の論文です。